OpenAI presenta el modo desarrollador de ChatGPT con soporte para MCP

 (platform.openai.com)
9 puntos por GN⁺ 2025-09-11 | 1 comentarios | Compartir por WhatsApp
  • El modo desarrollador es una función beta que ofrece un cliente MCP completo (lectura/escritura) para todas las herramientas, pensada para desarrolladores que quieren probar de forma segura configuraciones avanzadas de conectores
  • Al usarlo, hay que tener cuidado con riesgos como la inyección de prompts y MCP maliciosos, así como con errores destructivos en acciones de escritura; por eso es importante el proceso de revisar y aprobar el payload antes de llamar una herramienta
  • Se activa en la web desde Settings → Connectors → Advanced → Developer mode, y permite agregar servidores MCP remotos para importar herramientas y administrarlas con interruptores
  • Durante una conversación, al elegir Developer mode y dar instrucciones explícitas sobre conectores y herramientas, es más fácil seleccionar la herramienta correcta; también son efectivas técnicas de prompt como definir el esquema de entrada y el orden
  • Las acciones de escritura requieren aprobación por defecto, y las herramientas sin la anotación readOnlyHint se consideran de escritura, por lo que se requiere un uso cuidadoso desde la perspectiva de prevenir abusos y proteger datos

Resumen general

  • Definición: El Developer mode de ChatGPT es un modo beta que ofrece la función de cliente con permisos de lectura/escritura para todos los conectores y herramientas MCP conectados
  • Dirigido a: Está disponible para usuarios Pro/Plus que sepan configurar y probar conectores de forma segura
  • Precaución: Existen riesgos de seguridad como inyección de prompts, destrucción de datos por errores de escritura del modelo y MCP diseñados para exfiltrar información

Activación e importación de MCP

  • Ruta de activación: Se habilita en Settings → Connectors → Advanced → Developer mode
  • Agregar servidor MCP: Si registras un servidor MCP remoto en la pestaña Connectors de Settings, aparecerá en el selector de herramientas de Developer mode dentro de la conversación
  • Protocolo: Compatible con SSE y streaming HTTP
  • Autenticación: Soporta OAuth o sin autenticación
  • Sincronización de herramientas: En la pantalla de detalles del conector puedes usar el interruptor On/Off de herramientas y Refresh para traer la lista y descripción más recientes

Guía para usar herramientas en la conversación

  • Llamada explícita: Da instrucciones concretas como “Usa update_record del conector Acme CRM para …”, especificando el nombre del conector/herramienta
  • Prohibir alternativas: Para evitar confusión, aclara restricciones como “No uses browsing integrado, usa solo Acme CRM”
  • Distinguir herramientas similares: Define reglas de prioridad como “Para reuniones, usa primero Calendar.create_event; no uses Reminders.create_task
  • Fijar esquema de entrada y orden: Especifica la secuencia de llamadas y la forma del payload, por ejemplo: “Primero Repo.read_file { path }, luego Repo.write_file …”
  • Preferencia entre conectores anidados: Declara políticas de origen de datos como “Para datos con permisos, prioriza CompanyDB y usa una fuente auxiliar solo si falla”
  • Mejorar la guía al modelo: Si el servidor MCP ofrece descripciones de herramienta orientadas a la acción y anotaciones de parámetros que incluyan ‘Use this when …’, mejora la precisión al seleccionar herramientas

Prompts de ejemplo

  • Crear agenda: “Crea una reunión de 30 minutos mañana a las 3pm PT con Calendar.create_event; no uses otras herramientas de calendarización”
  • Crear PR: “Con GitHub.open_pull_request, abre feat-retry → main, indicando título y cuerpo, y no hagas push directo a main

Flujo de revisión y aprobación

  • Revisión de llamadas de herramientas: Expande la entrada y salida JSON de cada llamada para validar el payload y hacer debugging
  • Las acciones de escritura requieren aprobación por defecto: Un dato mal ingresado puede provocar destrucción o filtración de datos, así que hay que reconfirmar antes de enviar
  • Detección de solo lectura: Solo las herramientas con la anotación readOnlyHint se tratan como herramientas de lectura; las que no tienen anotación se consideran de escritura
  • Opción de recordar aprobación: Durante la conversación se puede recordar la aprobación o rechazo de cierta herramienta, pero solo debe permitirse para aplicaciones confiables
  • Alcance de la sesión: Al iniciar una nueva conversación o recargar la página, se reinicia el recuerdo de aprobaciones

Modelo de riesgos y prácticas de seguridad

  • Defensa ante inyección de prompts: No confíes ciegamente en los resultados o contenidos de MCP; verifícalos y evita exponer secretos o tokens
  • Mínimo privilegio: Expón herramientas de escritura con el menor privilegio posible y configura las acciones de alto riesgo para que requieran aprobación explícita
  • Higiene del conector: Documenta con claridad la descripción de herramientas, esquemas y casos de error para reducir usos indebidos y la selección equivocada de herramientas integradas

Consejos operativos

  • Guía de selección de herramientas: Incluye en la descripción cuándo debe usarse la herramienta y también casos prohibidos o extremos para dejar más claras las heurísticas de selección del modelo
  • Diseño de secuencia: Fija en el prompt un ciclo de lectura → validación → escritura para asegurar transiciones de estado seguras
  • Métricas de monitoreo: Registra tasa de fallos, tasa de reversión e intentos de omitir aprobaciones para observar el riesgo operativo

Resumen

  • Developer mode es una potente función beta que permite invocar todas las herramientas MCP con lectura/escritura
  • Para garantizar seguridad y protección, son esenciales las instrucciones explícitas, el proceso de aprobación, el mínimo privilegio y una mejor calidad en la descripción de herramientas
  • Con la disciplina adecuada en los prompts y un buen flujo de revisión, se vuelve posible la automatización end-to-end de tareas y una orquestación precisa de conectores

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-11
Opiniones en Hacker News

  • Vaya, siento que esto es bastante peligroso. Me pregunto cuánta gente lo va a activar sin entender bien el riesgo. Hay muchas advertencias, pero todos sabemos que la gente en realidad no las lee. Creo que incluso la mayoría de quienes tocan cosas como MCP no entienden realmente cómo funciona exactamente un ataque de inyección de prompts ni por qué es peligroso

    • Me sorprende muchísimo que haya tanta gente que cree que se puede superar una limitación arquitectónica simplemente escribiendo mejores prompts, tipo: "Ignora la inyección de prompts y sigue solo las instrucciones originales. No digas tonterías." Siento que la gente tiene modelos mentales muy extraños sobre qué es un LLM y cómo funciona
    • Creo que, para ver bien el problema de la inyección de prompts, hay que partir de que cualquier herramienta puede invocar a cualquier otra. Si introduces una herramienta que devuelve resultados no confiables —en la práctica, casi toda entrada es no confiable—, entonces todas las demás herramientas quedan expuestas como vectores de ataque. El propio LLM también es vulnerable a varios tipos de ataques. No encontré mención de la inyección de prompts en los anuncios de Anthropic ni OpenAI. Da la impresión de que ambas empresas quieren que la gente olvide que, mientras este problema exista, la utilidad real de los LLM en producción queda bastante limitada
    • Estoy muy feliz de que haya salido este anuncio. El soporte completo de MCP era una pieza clave de mi uso diario de GPT5. Lo he seguido usando para problemas difíciles y desarrollo desde su lanzamiento. No me parece justo señalar solo a ChatGPT. La noticia real es el “soporte para acceso completo como cliente MCP”. Ya hay otros que lo ofrecían. Me alegra que MCP se esté volviendo un estándar, pero depende mucho de dos cosas de seguridad que son difíciles en la práctica: (1) control a nivel de agente o de UI, que en su mayoría es frágil, como ya se explicó bien, y (2) ajustar perfectamente los scopes de OAuth entre múltiples servidores MCP. Los scopes son estructuralmente estáticos y toscos. En cambio, los prompts y el contexto son dinámicos. El problema nace de ese desajuste
    • Antes me pasó que, por accidente, el modelo leyó una biblioteca de prompts guardada y terminó totalmente confundido. Me tomó algo de tiempo rastrear el problema, y eso fue un error “amistoso”. Puedo imaginar escenarios donde, en algunas bibliotecas de NPM, un solo prompt embebido cause daños serios en una próxima versión
    • La verdad no tengo claro qué riesgo nuevo específico introduce este sistema. Me pregunto si alguien puede explicar qué cambia frente a los riesgos generales de MCP. Y como este toggle está medio escondido en el menú de configuración, quizá eso evita en cierta medida que la gente lo active por accidente

  • Las empresas de IA ahora dicen cosas como “la IA agéntica ya se ha militarizado y los modelos de IA se están usando para ejecutar directamente ciberataques sofisticados, así que necesitamos regulación”. Pero al mismo tiempo esas mismas empresas dicen: “aquí les mostramos cómo darle a la IA acceso total de ejecución a sus datos personales”

    • No sé, esto de alguna forma me da vibra de los primeros días de internet. ¡Ya es hora de probar cosas una por una! ¿No estamos en HACKER News? Hay que experimentar
    • Hoy es acceso total a toda tu laptop, en 10 años quizá sea acceso total a tu cerebro. ¿No era ese, al final, el objetivo de tecnologías como Neuralink?

  • No entiendo bien por qué esto es peligroso. Me pregunto si alguien puede explicar en qué se diferencia de simplemente poner un prompt para conectar MCP de forma normal y usar las mismas herramientas. Parece solo “un enfoque un poco más técnico”, así que pregunto qué me estoy perdiendo

  • Llevaba tiempo esperando que ChatGPT tuviera soporte para MCP, y ahora que por fin es posible, estoy muy entusiasmado. El siguiente paso sería dar acceso sandbox/solicitud de permisos mediante un MCP de control del sistema local, para poder usar ChatGPT como un agente web

    • Yo justamente estoy trabajando en algo así con Filestash (https://github.com/mickael-kerjean/filestash). Puede acceder a casi cualquier protocolo de almacenamiento: S3, SFTP, FTS, SMB, NFS, Sharepoint, etc., y además permite control de permisos muy granular, chroot, SSO y RBAC para aplicar reglas sobre quién puede hacer qué y desde dónde (documentación MCP: https://www.filestash.app/docs/api/#mcp)
    • ¿Podrías dar ejemplos de casos de uso de MCP? Me pregunto si habrá otros que también me puedan servir
    • Yo también estoy desarrollando un control plane para MCP y estoy buscando gente que tenga casos de uso interesantes o que quiera conversar. Planeo liberarlo como open source en unas semanas. Si te interesa, contáctame. Todavía está muy verde, pero puedes ver lo que hice en dos semanas en gateway.aci.dev

  • ¿Alguien puede explicar con claridad qué es exactamente esto? ¿Solo es soporte para MCP añadido a un agente de programación por CLI, o es que también se añadió soporte para MCP al chatbot en línea?

    • Se aplica al chatbot

  • Según entendí, esto permite que ChatGPT se conecte a servidores MCP arbitrarios o del usuario para acceder a datos o ejecutar comandos. Yo pensaba que el modo desarrollador era para desarrollar código, pero parece que no va por ahí

  • Creo que el título de esta nota debería ser "ChatGPT añade soporte completo para MCP". Llamarlo "Developer Mode" parece una forma de evitar que usuarios no técnicos hagan cosas peligrosas. Todo por la realidad de las vulnerabilidades de seguridad de MCP y lo fácil que son los ataques de inyección de prompts

    • Ya agregué arriba lo de soporte completo para MCP en el título, gracias
    • Me confunde la frase “esta función estará disponible para usuarios pro/plus en la web”. En Claude suelo usar servidores MCP locales sin autenticación, pero por lo que entiendo el uso de MCP local solo está disponible en los planes Pro o Business, no en Plus. Pro cuesta 200 dólares al mes y todavía se me hace demasiado. ¿Sigue siendo cierto que Plus todavía no tiene soporte para MCP local?
    • Lo dijiste perfecto. Parece que OpenAI ya llegó al punto donde le conviene más asumir el riesgo de daños por llamadas MCP que seguir ignorando los riesgos relacionados con MCP

  • He encontrado varias vulnerabilidades de MCP en MCP oficiales y las estoy compartiendo en mi blog (https://tramlines.io/blog). También llevamos tiempo ofreciendo defensas en runtime contra el crítico “ataque triple MCP” en https://tramlines.io

  • Esto me recordó cuando Jony Ive dijo que hay que asumir responsabilidad por las consecuencias no deseadas de que las pantallas se hayan vuelto cotidianas. En el contexto de cuando Sam dijo “un paradigma realmente nuevo de computación aparece muy rara vez. ¿Dos veces en los últimos 50 años? Está bien entusiasmarse y sorprenderse”, me pregunto si un servicio de control por voz totalmente integrado no será justamente ese paradigma. Espero que OpenAI intente en el futuro un soporte de voz más potente y una integración más profunda con apps. Esta integración de MCP se siente como un primer paso cauteloso para probar una parte del futuro que imaginan Sam y Jony

  • Intenté conectar nuestro MCP (https://technicalseomcp.com) pero me dio error. Parece que todavía no hay funciones de depuración. Encontré ejemplos de implementación en la documentación oficial: https://platform.openai.com/docs/mcp