Versión en EspañolES

Acceso Agente: OAuth Te Deja Entrar. Zero Trust Te Mantiene Seguro

Los agentes de IA ya no son experimentales. Los desarrolladores ya los están utilizando para consultar APIs, modificar contenido y encadenar servicios utilizando protocolos emergentes como MCP (Model Context Protocol). La última especificación de MCP introduce autenticación moderna OAuth 2.1 y soporte para Resource Indicators (RFC 8707), fortaleciendo la identidad en sistemas basados en agentes.

Pero la autenticación por sí sola no garantiza el control. Una vez que un agente ha iniciado sesión, ¿cómo se gobierna lo que se le permite hacer? Sin controles de autorización adecuados, los agentes pueden acceder a muchos más recursos de los que necesitan, creando riesgos de seguridad significativos.

Esta masterclass explora cómo aplicar los principios de Zero Trust a los flujos de trabajo de agentes combinando protocolos de identidad abiertos con infraestructura consciente de políticas. Verás una demostración de un cliente MCP interactuando con un servidor MCP asegurado detrás de Pomerium, un proxy de identidad consciente de código abierto que aporta control de acceso detallado a las interacciones de agentes. Más allá de la autenticación básica, Pomerium evalúa políticas por solicitud basadas en identidad, ruta y contexto, y puede auditar y bloquear llamadas de herramientas específicas dentro del protocolo MCP. Incluso puede gestionar flujos OAuth hacia herramientas upstream como Notion o Reddit, para que los agentes nunca manejen tokens de acceso en bruto.

Lo que aprenderás:

- Por qué OAuth es necesario pero no suficiente para la seguridad de agentes
- Cómo aplicar Zero Trust a herramientas de desarrollo y flujos de trabajo de IA
- Un ejemplo práctico de asegurar servidores MCP con infraestructura de código abierto

A medida que los agentes de IA se convierten en parte de los flujos de trabajo de desarrolladores del mundo real, los estándares abiertos y las configuraciones seguras son clave para construir confianza sin añadir fricción. Estos patrones de seguridad se aplican más allá de los sistemas de IA a cualquier herramienta automatizada que necesite acceso controlado a APIs y servicios.

This talk has been presented at AI Coding Summit, check out the latest edition of this Tech Conference.

security

Nick Taylor

17 min

23 Oct, 2025

Comments

Video Summary and Transcription

Bienvenido a la masterclass sobre Acceso Agente, que cubre MCP, Zero Trust Security y Identity-Aware Proxy. MCP ofrece una interfaz estandarizada para agentes LM, mientras que Zero Trust asegura autenticación continua y aplicación consciente del contexto. El Identity-Aware Proxy aplica autenticación, autorización y políticas conscientes del contexto. Las verificaciones del Policy Engine aseguran el acceso seguro a recursos internos mediante autenticación y validación de proxy. La transición de acceso humano a agentic requiere adherirse a las mejores prácticas de seguridad de MCP, como usar proxies, validar tokens y auditar el acceso. Los VPNs, aunque comunes, plantean desafíos de seguridad y control de acceso, lo que lleva a la necesidad de un enfoque seguro de exposición de herramientas. Colocar servidores MCP detrás de un proxy asegura un acceso seguro. Los VPNs presentan limitaciones para asegurar servidores MCP, especialmente con servicios alojados como Cloud o ChatGPT. La integración de OAuth en sistemas MCP mejora la seguridad pero no impone confianza en dispositivos o políticas basadas en sesiones. Los principios de Zero Trust guían el control de acceso y la evaluación de solicitudes. Los alcances de OAuth en OAuth son a menudo de grano grueso, limitando el control de acceso de grano fino. La demostración del servidor MCP de GitHub ilustra los desafíos con alcances de grano grueso. Los registros centralizados proporcionan auditoría para un mejor seguimiento y control. Los servidores MCP con Pumarium simplifican la implementación de OAuth. El proxy consciente de identidad gestiona el flujo de OAuth y la aplicación de políticas. La demostración muestra el manejo seguro de datos a través de un servidor MCP con auditoría. El cliente MCP simplifica la gestión de tokens OAuth. La demostración muestra operaciones exitosas de repositorio con auditoría en tiempo real. Operaciones exitosas excepto la fusión de pull request. Recursos, documentos de especificación de MCP, ideas de Zero Trust Security e información de contacto.

Available in English: Agentic Access: OAuth Gets You In. Zero Trust Keeps You Safe

Video transcription and chapters available for users with access.

Available in other languages:

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?

Node Congress 2022

26 min

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?

Top Content

Feross Aboukhadijeh

Feross is the author and maintainer of WebTorrent, StandardJS, and 100s of other open source projects

The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.

node.js security

El estado de la autenticación sin contraseña en la web

JSNation 2023

30 min

El estado de la autenticación sin contraseña en la web

Phil Nash

IBM

Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.

security authentication

5 Formas en las que Podrías Haber Hackeado Node.js

JSNation 2023

22 min

5 Formas en las que Podrías Haber Hackeado Node.js

Top Content

Rafael Gonzaga

NearForm & Technical Steering Committee, Brazil

The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.

node.js security

Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web

React Summit US 2023

9 min

Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web

Top Content

Lucas Estevão

Mentorship available

Technical Manager and Principal UI Engineer.

Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.

next.js security react 18

Cómo se hackean las aplicaciones React en el mundo real

React Summit 2022

7 min

Cómo se hackean las aplicaciones React en el mundo real

Top Content

Liran Tal

Snyk

How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.

react case study security

Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real

React Advanced 2021

22 min

Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real

Top Content

Liran Tal

Snyk

React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.

react security xss

Workshops on related topic

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web

JSNation US 2024

148 min

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web

Featured Workshop

Gregor Biswanger

En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.

security testing security

De 0 a Autenticación en una hora con ReactJS

React Summit 2023

56 min

De 0 a Autenticación en una hora con ReactJS

WorkshopFree

Kevin Gao

La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.

react web development security authentication

Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js

JSNation 2024

97 min

Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js

Workshop

Marco Ippolito

En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor

node.js security

Cómo Construir Control de Acceso Front-End con NFTs

JSNation 2024

88 min

Cómo Construir Control de Acceso Front-End con NFTs

WorkshopFree

Solange Gueiros

Comprende los fundamentos de la tecnología NFT y su aplicación en el fortalecimiento de la seguridad web. A través de demostraciones prácticas y ejercicios prácticos, los asistentes aprenderán cómo integrar sin problemas mecanismos de control de acceso basados en NFT en sus proyectos de desarrollo front-end.

security

Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk

JSNation 2022

99 min

Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk

Workshop

Matthew Salmon

npm y seguridad, ¿cuánto sabes sobre tus dependencias?Hack-along, hacking en vivo de una aplicación Node vulnerable https://github.com/snyk-labs/nodejs-goof, Vulnerabilidades tanto de código abierto como de código escrito. Se anima a descargar la aplicación y hackear junto con nosotros.Corrigiendo los problemas y una introducción a Snyk con una demostración.Preguntas abiertas.

case study javascript node.js security npm

Aporta Calidad y Seguridad al pipeline de CI/CD

DevOps.js Conf 2022

76 min

Aporta Calidad y Seguridad al pipeline de CI/CD

Workshop

Elena Vilchik

En esta masterclass repasaremos todos los aspectos y etapas al integrar tu proyecto en el ecosistema de Calidad y Seguridad del Código. Tomaremos una aplicación web simple como punto de partida y crearemos un pipeline de CI que active el monitoreo de calidad del código. Realizaremos un ciclo completo de desarrollo, comenzando desde la codificación en el IDE y abriendo una Pull Request, y te mostraré cómo puedes controlar la calidad en esas etapas. Al final de la masterclass, estarás listo para habilitar esta integración en tus propios proyectos.

code quality ci cd security