Trucos de Bash de hace décadas rompen los filtros de los agentes de codificación de IA

Investigadores de Adversa AI (trabajo de Omer Ben Simon) han demostrado que técnicas de Bash con décadas de antigüedad —eliminación de comillas, uso de $IFS, sustituciones— bastan para saltarse los filtros de comandos de los agentes de codificación de IA y abrir la puerta a ataques de cadena de suministro.

El problema

Los agentes de codificación (Copilot-style, Cursor, Cline y similares) ejecutan comandos de shell en nombre del desarrollador y aplican guardas de patrones ("no ejecutes curl … | bash", "bloquea rm -rf") para evitar acciones peligrosas. El fallo: esas guardas comparan texto, y Bash ofrece decenas de formas de escribir el mismo comando de forma que el filtro no lo reconozca:

  • Eliminación de comillas: c""url, c'u'rl → el shell lo interpreta como curl, pero el filtro literal no lo detecta.
  • $IFS en lugar de espacios: cat$IFS/etc/passwd.
  • Sustituciones y expansiones que reconstruyen la cadena en tiempo de ejecución.

El estudio define cinco clases (A–E) de bypass y prueba 11 agentes: 10 resultaron vulnerables; solo Continue resistió. El vector práctico es la cadena de suministro: un README, Makefile o script de instalación con comandos ofuscados que el agente ejecuta automáticamente al abrir o construir el proyecto.

Recomendaciones inmediatas

  • No confíes en filtros de texto: la validación debe hacerse sobre el comando resuelto, no sobre la cadena literal.
  • Ejecuta los agentes en sandbox sin acceso a credenciales ni a la red por defecto.
  • Exige aprobación humana para cualquier ejecución de shell que un agente proponga.
  • Trata los README/Makefile de repositorios de terceros como contenido no confiable.

¿Estás cubierto en DefensOps?

DefensOps detecta la ejecución ofuscada en shell, sea quien sea quien la lance:

  • T1059.004 – Shell de Unix: reglas nativas para comandos con quote removal, $IFS y sustituciones que reconstruyen binarios como curl/bash en tiempo de ejecución. Disponible desde Essential.
  • T1027 – Ofuscación y T1195 – Cadena de suministro: el motor de correlación eleva el incidente cuando un proceso de build/agente lanza descargas o ejecución remota a partir de un artefacto de repositorio.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: SecurityWeek