mcp-fence – proxy de seguridad que inspecciona bidireccionalmente las solicitudes y respuestas de servidores MCP

Cuando un agente de IA lee archivos o invoca herramientas a través de un servidor MCP, la respuesta que devuelve el servidor entra al contexto sin una validación aparte. mcp-fence es un proxy de seguridad que inspecciona en tiempo real tanto esas solicitudes como las respuestas.

Creando nworks (servidor MCP de NAVER WORKS) viví esta estructura de primera mano. Revisé 28 proyectos de seguridad para MCP en GitHub, y la mayoría tenían una estructura que solo inspeccionaba lo que se enviaba y no miraba lo que regresaba. Por eso lo hice yo mismo.

Después de crearlo, ejecuté personalmente una auditoría de seguridad. Logré evadir por completo la detección usando caracteres que para los humanos se ven iguales pero que la computadora reconoce como letras distintas, hice pasar todas las inspecciones insertando caracteres transparentes invisibles y también encontré un bug que, con una entrada especial, hacía que la inspección de seguridad se detuviera por completo. Todo fue corregido antes del lanzamiento. De 1,426 pruebas, 630 son pruebas de seguridad adversarias, y la tasa de detección para 13 vulnerabilidades conocidas de MCP es del 86%. Según OWASP MCP Top 10, cubre 9 de 10 categorías.

Detecta injection, secrets, PII y command injection, y también detecta el rug-pull de descripciones de herramientas que cambian a escondidas mediante hash pinning. La detección está basada en expresiones regulares, así que si se expresa lo mismo de otra forma puede pasar. La detección semántica con ML está planeada para la versión v1.x.

Por ejemplo, si usas un servidor MCP de filesystem, solo hay que ponerlo delante.

npx mcp-fence start -- npx @modelcontextprotocol/server-filesystem /tmp  

Funciona con esta sola línea sin necesidad de modificar el código del servidor existente. Por defecto solo deja registros y no bloquea. Primero puedes revisar qué tráfico está circulando y, si todo se ve bien, cambiar al modo de bloqueo.

Es un proyecto que un ingeniero con 9 años de experiencia en seguridad móvil hizo solo en 10 semanas, así que puede haber partes mejorables. Agradeceré mucho cualquier comentario.