MCPwner, Herramienta de Pentesting con IA, Encuentra Múltiples Vulnerabilidades 0-Day en OpenClaw

Qué es MCPwner

MCPwner es un servidor MCP (Protocolo de Contexto de Modelo) que permite a los agentes de IA realizar pruebas de penetración automatizadas contra objetivos de seguridad. El desarrollador lo construyó para orquestar modelos de IA más antiguos como GPT-4o y Claude 3.5 Sonnet, que cuando se dirigen adecuadamente a través de MCPwner pueden encontrar fallas arquitectónicas profundas que las herramientas de escaneo estándar pasan por alto.

Hallazgos Recientes en OpenClaw

Cuando se apuntó a OpenClaw, MCPwner identificó con éxito múltiples vulnerabilidades de día cero que ahora han recibido avisos oficiales. Estos no eran solo errores menores, sino problemas críticos de seguridad:

• Inyección de Variables de Entorno
• Omisión de aprobación automática de permisos ACP
• Divulgación de información del oráculo de existencia de archivos
• Omisión de entrada estándar exclusiva de safeBins

La herramienta encontró omisiones lógicas y puntos de inyección que las herramientas tradicionales de análisis estático pasaron por alto por completo.

Enfoque Técnico

MCPwner demuestra que los modelos de IA de nivel medio y más antiguos, cuando se orquestan adecuadamente a través de este servidor MCP, pueden superar al análisis estático tradicional para el descubrimiento de vulnerabilidades. El proyecto ya ha identificado múltiples vulnerabilidades y otros CVEs más allá de los hallazgos de OpenClaw.

Estado del Proyecto y Contribución

El proyecto aún está en desarrollo activo pero ya está produciendo resultados. El desarrollador busca colaboradores para ayudar a afinar la lógica de escaneo y expandir el conjunto de herramientas. Se aceptan solicitudes de extracción y comentarios, especialmente de aquellos que trabajan en el espacio de IA ofensiva y quieren probar la herramienta.

Repositorio de GitHub: https://github.com/Pigyon/MCPwner