Un informe de bug falso secuestra agentes de codificación de IA

Investigadores han demostrado una técnica de «agentjacking»: un informe de bug o un issue de GitHub cuidadosamente redactado puede secuestrar un agente de codificación autónomo (Copilot Workspace, Cursor, Devin y similares) e inducirlo a ejecutar acciones maliciosas cuando el agente lo procesa.

El problema

Los agentes de IA que resuelven issues automáticamente leen el texto del ticket como parte de su contexto. Un atacante abre un informe de bug que parece legítimo pero incluye instrucciones ocultas de inyección de prompt. Cuando el agente lo interpreta, confunde las instrucciones del atacante con la tarea del usuario y puede:

  • Exfiltrar secretos del repositorio (tokens, claves, variables de entorno).
  • Introducir puertas traseras o dependencias maliciosas en el código (T1195, ataque a la cadena de suministro).
  • Ejecutar comandos en el entorno de desarrollo (T1059).
  • Abrir pull requests con cambios dañinos que parecen legítimos.

  • Tácticas: T1195 (compromiso de la cadena de suministro), T1059 (intérprete de comandos), T1204 (ejecución por el usuario/agente)

  • Vector: inyección de instrucciones a través de contenido no confiable (issues, informes de bug, comentarios)

Es la variante «externa» de los ataques a agentes de código que ya hemos cubierto (GuardFall, trucos de Bash): el problema de fondo es que el agente no distingue datos de instrucciones.

Recomendaciones inmediatas

  • Trata todo contenido externo (issues, PRs, comentarios) como datos no confiables, nunca como instrucciones.
  • Ejecuta los agentes en sandboxes aislados sin acceso a secretos de producción.
  • Exige revisión humana de todo cambio generado por un agente antes de fusionarlo.
  • Limita los permisos del agente (principio de mínimo privilegio) sobre tokens y repositorios.

¿Estás cubierto en DefensOps?

DefensOps monitoriza la actividad de los entornos de desarrollo y CI/CD para detectar el abuso de agentes:

  • T1195 (Compromiso de la cadena de suministro): detección de dependencias e inyecciones maliciosas en pipelines.
  • T1059 (Intérprete de comandos): alertas sobre ejecución de comandos anómalos en runners y entornos de agente.
  • T1204 (Ejecución inducida): correlación de acciones automatizadas con exfiltración de credenciales.

Disponible en el plan Advanced. El motor de correlación enlaza la actividad del agente con accesos a secretos y conexiones salientes inesperadas.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: Dark Reading