Lp3
Medium
- Category
- MCP Least Privilege
- Confidence
- 89% confidence
- Finding
- El skill declara ejecución de scripts que consultan una API pública de ESIOS, lo que implica capacidad de red sin permisos declarados. Esto es riesgoso porque el agente podría realizar llamadas externas no transparentes para el usuario o para la plataforma, ampliando la superficie de exfiltración, seguimiento o dependencia de servicios remotos, aunque en este caso el contexto apunta a una API legítima y de bajo riesgo.
