Auditamos 23.000 servidores MCP. Esto es lo que encontramos.
AgentForge Trust ya está activo. Cada servidor MCP público puntuado en cinco dimensiones: seguridad, salud del código, comportamiento, comunidad, cumplimiento EU. 23.402 servidores indexados, 1.964 auditados. API pública gratuita y paquete npm.
El Problema
El ecosistema MCP explotó en 2025 — y en 2026 está en 20.000+ servidores públicos en awesome-mcp-servers, mcp.so, glama.ai y incontables repositorios de GitHub. Eso son más herramientas de las que cualquier humano puede verificar. Cuando su agente IA decide conectarse a random-financial-mcp@0.0.3 para procesar facturas, ¿quién verificó que no filtra sus claves de Stripe?
Nadie. Hasta hoy.
AgentForge Trust — En Directo Ahora
Hoy lanzamos AgentForge Trust — la primera capa de auditoría para el ecosistema MCP. Cada servidor MCP público obtiene una Puntuación de Confianza de 0–100 calculada en cinco dimensiones independientes:
| Dimensión | Peso | Señal |
|---|---|---|
| Escaneo de Seguridad | 30% | GitHub Advisory API, CVEs de dependencias, filtraciones de secretos en código fuente |
| Salud del Código | 20% | Recencia de commits, proporción de problemas a estrellas, licencia, estado archivado |
| Auditoría de Comportamiento | 20% | Revisión de código con Claude — qué realmente hace versus lo que dice el README |
| Confianza Comunitaria | 15% | Estrellas (escala logarítmica), forks, respaldo de organización |
| Cumplimiento EU | 15% | GDPR, disponibilidad de Reglamento de IA, divulgación de residencia de datos |
Los Números
- 23.402 servidores MCP indexados de AgentForge, awesome-mcp-servers y glama.ai
- 1.964 auditados en salud del código + confianza comunitaria (91% del conjunto awesome-mcp de cola larga)
- Escaneos de seguridad desplegándose en todos los servidores indexados esta semana
- Auditorías de comportamiento ejecutándose en el top 1.000 por puntuación comunitaria
Hallazgo único más grande del primer día: las puntuaciones son altamente bimodales. Los servidores top-100 se agrupan en 85–100 en general, mientras que la cola larga cae bruscamente por debajo de 40. El medio está casi vacío. Guía de contratación empresarial: establezca min_overall: 70 y pierde el 60% del volumen pero elimina casi todos los riesgos.
Cuatro Maneras de Usarlo
1. El landing /trust
Visite agentforge.community/trust para un ranking en directo y la metodología completa. Los principales ahora: mindsdb, bytedance/UI-TARS-desktop y varios servidores oficiales de Anthropic — todos en 95+.
2. La API pública
Tres puntos finales sin autenticación:
GET /api/v1/trust?slug=…— scorecard completo para un servidor únicoPOST /api/v1/trust/evaluate— puerta de permitir/rechazar con política personalizadaGET /api/v1/trust/list?category=&min_trust=80— directorio filtrado
Almacenado en caché en el edge, alojado en EU, TTL de 300s.
3. La herramienta MCP
Publicada hoy en npm:
npx -y agentforge-trust-mcpColóquelo en su configuración de Claude Desktop / Cursor / Foundry y su agente obtiene cuatro nuevas herramientas: check_trust, evaluate_policy, list_trusted, recommend. El agente puede auditar un servidor anterior antes de conectarse a él, rechazar llamadas a servidores por debajo de un umbral de política, o encontrar alternativas mediante consulta en lenguaje natural.
4. Panel de políticas empresariales
Próximamente en nivel empresarial en Q3: defina políticas para toda la organización como "solo servidores con ≥80 en general, con licencia EU, sin insignia de secretos_filtrados" — AgentForge Trust lo aplica en tiempo de descubrimiento en todos los agentes de su stack.
Cómo Complementa Microsoft Foundry
Microsoft acaba de lanzar Agentes Alojados en Foundry — sandboxes aisladas de hipervisor para ejecutar agentes a escala empresarial. Foundry resuelve la seguridad del tiempo de ejecución del agente. AgentForge Trust resuelve la seguridad de la cadena de suministro de herramientas. Son capas complementarias: ejecuta el agente en Foundry, filtra su descubrimiento de herramientas a través de AgentForge Trust. Coloque agentforge-trust-mcp en su Dockerfile de Foundry y la política empresarial se convierte en una llamada API.
Auditorías Parciales, Puntuaciones Honestas
La mayoría de los servidores hoy tienen salud_código + confianza_comunitaria puntuados, mientras que escaneo_seguridad y auditoría_comportamiento aún se están desplegando. No penalizamos a los servidores por auditorías incompletas — la puntuación del titular es un promedio ponderado solo sobre las dimensiones completadas, reportado con partial: true. Cuando ve Auditoría parcial · 2/5 dimensiones en la interfaz, el número que ve es justo; simplemente no es exhaustivo aún.
La Metodología Es Abierta
Todo es MIT-licenciado y auditable:
- Código fuente mcp-trust-server — el paquete npm
- Scripts de puntuación — ingest, salud-código, escaneo-seguridad, auditoría-comportamiento
- Migration 036 — el schema trust_scores + la función compute_overall_trust
Publicamos nuestra rúbrica, nuestros pesos y nuestro código de auditoría. Puede estar en desacuerdo, hacer un fork o enviar una versión mejor — queremos activamente PRs en las reglas de puntuación.
Qué Sigue
- Escaneos de seguridad completos en todos los 23.402 servidores — terminados antes de fin de semana
- Auditorías de comportamiento para el top 1.000 — ejecutándose ahora en Claude Sonnet 4.6
- Integración mcp.so — agregando su catálogo encima de glama + awesome-mcp
- Nivel empresarial — políticas personalizadas, re-auditorías bajo demanda, SSO — Q3 2026
- Atestaciones firmadas — reportes de confianza firmados con Ed25519 que puede verificar sin conexión
Pruébelo Ahora
Elige tu punto de entrada:
- Visite el landing: agentforge.community/trust
- Consulte la API:
curl 'https://agentforge.community/api/v1/trust/list?min_trust=80&limit=10' - Instale la herramienta MCP:
npx -y agentforge-trust-mcp
La economía de agentes no se trata solo de qué herramientas existen. Se trata de qué herramientas puede confiar. Hoy, eso es un problema resuelto.