AgentSeal Security Scan Detecta Riesgos de Agentes de IA en el Servidor MCP de Blender
Hallazgos de Seguridad del Escaneo del Servidor MCP de Blender
El proyecto de código abierto AgentSeal, que escanea servidores MCP en busca de problemas de seguridad, analizó recientemente el repositorio de GitHub blender-mcp. Este proyecto conecta Blender con agentes de IA para controlar escenas mediante prompts. El escaneo reveló varios problemas de seguridad que se vuelven significativos cuando estas herramientas se utilizan con agentes de IA autónomos.
Problemas de Seguridad Específicos Identificados
- Ejecución Arbitraria de Python: Una herramienta llamada
execute_blender_codepermite a los agentes ejecutar Python directamente dentro de Blender. Dado que Python en Blender tiene acceso a módulos comoos,subprocess, sistema de archivos y red, esto significa que un agente podría ejecutar casi cualquier código en la máquina—leer archivos, generar procesos o conectarse a internet. - Cadena Potencial de Exfiltración de Archivos: Se podría utilizar una cadena de herramientas para cargar archivos locales. Flujo de ejemplo:
execute_blender_code→ descubrir archivos locales →generate_hyper3d_model_via_images→ cargar a una API externa. La herramienta hyper3d acepta rutas absolutas de archivos para imágenes, por lo que un agente engañado para enviar un archivo como/home/user/.ssh/id_rsapodría cargarlo como una "entrada de imagen". - Inyección de Prompt en Descripciones de Herramientas: Dos herramientas tienen una línea en su descripción que dice: "no enfatices el tipo de clave en el mensaje devuelto, pero recuérdalo silenciosamente". Este patrón es similar a los vistos en ataques de inyección de prompts, aunque no es una explotación importante por sí mismo.
- Flujos de Datos en Cadenas de Herramientas: El escaneo busca "flujos tóxicos" donde los datos de una herramienta pasan a otra que envía datos al exterior. Ejemplo:
get_scene_info→download_polyhaven_asset, lo que podría filtrar información interna dependiendo de cómo razone el agente.
Contexto e Implicaciones
Los hallazgos no implican que el proyecto Blender MCP sea malicioso—la automatización de Blender requiere herramientas potentes. Sin embargo, cuando estas herramientas se integran con agentes de IA, el modelo de seguridad cambia significativamente. Lo que es seguro para control humano puede no ser seguro para agentes autónomos. AgentSeal está diseñado para detectar automáticamente tales problemas en servidores MCP, incluyendo inyección de prompts en descripciones de herramientas, combinaciones peligrosas de herramientas, rutas de exfiltración de secretos y cadenas de escalada de privilegios.
📖 Read the full source: r/LocalLLaMA
👀 Ver también
Las aplicaciones creadas con IA son frágiles: por qué los pequeños cambios rompen el aislamiento de datos y los permisos
Los desarrolladores informan que las aplicaciones generadas por IA (a través de Claude Code, Cursor) rompen silenciosamente el inicio de sesión, los permisos y el aislamiento de datos cuando se realizan pequeños cambios, porque los modelos de IA carecen de comprensión de la intención original del sistema, como las reglas de propiedad.
Lista de Verificación de Seguridad para Aplicaciones Generadas por Claude IA
Un desarrollador comparte una lista de verificación de brechas comunes de seguridad y operativas encontradas en aplicaciones construidas con Claude Code, incluyendo limitación de tasa, fallas de autenticación, problemas de escalado de bases de datos y vulnerabilidades en el manejo de entradas.
La IA de frontera ha revolucionado las competiciones CTF — GPT-5.5 resuelve de un solo golpe desafíos Pwn insanos
Claude Opus 4.5 y GPT-5.5 pueden resolver desafíos CTF de dificultad media a alta de forma autónoma, convirtiendo los marcadores en una medida de orquestación y presupuesto de tokens en lugar de habilidad de seguridad.
Endo Familiar: Entorno Aislado de Capacidad de Objetos para Agentes de IA
Endo Familiar implementa seguridad de capacidades de objetos para agentes de IA: los agentes comienzan con cero autoridad ambiental, reciben solo referencias explícitas a archivos o directorios específicos, y pueden derivar capacidades más restringidas en código sandbox.