Technology Radar
Agent capabilities are outpacing security practices. With the rise of permission-hungry agents like OpenClaw, teams are increasingly deploying agents in environments that expose them to the lethal trifecta: access to private data, exposure to untrusted content and the ability to communicate externally. As capabilities grow, so too does the attack surface, exposing systems to risks such as prompt injection and tool poisoning. We continue to see toxic flow analysis as a primary technique for examining agentic systems to identify unsafe data paths and potential attack vectors. These risks are no longer limited to MCP integrations; our teams have observed similar patterns in Agent Skills, where a malicious actor can package a seemingly useful skill that embeds hidden instructions to exfiltrate sensitive data. We strongly encourage teams working with agents to perform toxic flow analysis and use tools such as Agent Scan to identify unsafe data paths before they're exploited.
El ya conocido chiste de que la S en MCP significa “seguridad” oculta un problema muy real. Cuando los agentes se comunican entre sí, ya sea mediante la invocación de herramientas o llamadas a API, pueden encontrarse rápidamente con lo que se ha denominado la tríada letal: acceso a datos privados, exposición a contenido no confiable y capacidad de comunicación externa. Los agentes que combinan estos tres elementos son altamente vulnerables. Dado que los LLMs tienden a seguir las instrucciones incluidas en su entrada, cualquier contenido que contenga una orden para exfiltrar datos a una fuente no confiable puede generar fácilmente filtraciones de datos. Una técnica emergente para mitigar este riesgo es el análisis de flujo tóxico (toxic flow analysis), que examina el grafo de flujo de un sistema de agentes para identificar posibles rutas de datos inseguras que requieren una investigación más profunda. Aunque todavía se encuentra en una etapa temprana, el análisis de flujo tóxico representa una de las aproximaciones más prometedoras para detectar los nuevos vectores de ataque a los que los sistemas de agentes y los servidores MCP están cada vez más expuestos.
