7 Vulnerabilidades de la Pasarela MCP: Fugas de Sesión, SSE Muerto y OAuth en Modo Pasarela

Después de las demostraciones del camino feliz, un usuario de Reddit encontró siete errores específicos al poner una puerta de enlace MCP entre clientes y servidores reales. Las soluciones no fueron ingeniería de prompts — fueron límites de sesión explícitos, timeouts por herramienta, idempotencia, registros de acciones estructurados, trazas a nivel de puerta de enlace y pruebas contra llamadas concurrentes a herramientas. El resultado fue una gran reducción en el tiempo de ejecución paralela de herramientas, pero la mayor victoria fue saber dónde residía el fallo.

Los siete errores que realmente importaban

• Fuga de estado de sesión entre clientes — el estado compartido entre sesiones provocó contaminación de datos.
• Conexiones SSE que mueren silenciosamente — no surgía ningún error cuando una conexión de eventos enviada por el servidor se caía.
• Flujos OAuth que funcionan en pruebas locales pero se rompen en modo puerta de enlace — las URI de redirección o la validación de tokens fallaban detrás del proxy.
• Sondas de descubrimiento que devuelven metadatos obsoletos del servidor — las capacidades en caché no reflejaban las actualizaciones del servidor.
• Escrituras SQLite que bloquean llamadas paralelas a herramientas — los bloqueos de base de datos serializaban las solicitudes concurrentes.
• Lógica de reintento que duplica efectos secundarios de herramientas — los reintentos reejecutaban mutaciones como escrituras o llamadas API.
• Latencia de herramientas oculta dentro de la puerta de enlace en lugar de la llamada al modelo — el monitoreo atribuía el tiempo a la capa incorrecta.

La solución: infraestructura aburrida, no mejores prompts

El enfoque del autor para cada error:

• Límites de sesión explícitos — estado separado por cliente, sin objetos compartidos.
• Política de timeout por herramienta — timeouts individuales para evitar que una herramienta lenta retenga a otras.
• Idempotencia cuando sea posible — claves de deduplicación o comportamiento transaccional para hacer seguros los reintentos.
• Registros de acciones estructurados — registros detallados y analizables de cada acción de la puerta de enlace para depuración.
• Trazas a nivel de puerta de enlace — trazado distribuido para atribuir correctamente la latencia entre capas.
• Pruebas contra llamadas concurrentes a herramientas — pruebas de integración que disparan solicitudes paralelas para detectar condiciones de carrera.

Estos son patrones específicos y prácticos para cualquiera que ejecute una puerta de enlace MCP en producción. La idea clave del post: los problemas difíciles son el aislamiento de estado, los fallos silenciosos y la observabilidad — no los prompts del modelo.