Trucos de Bash de décadas atrás ponen en riesgo a agentes de codificación de IA
Resumen rápido
Técnicas obsoletas de Bash pueden sortear las salvaguardas de los agentes de codificación de IA abiertos, exponiéndolos a ataques de cadena de suministro. Esto plantea preocupaciones sobre la seguridad de los repositorios de código.
Trucos de Bash de hace décadas rompen los filtros de los agentes de codificación de IA
Investigadores de Adversa AI (trabajo de Omer Ben Simon) han demostrado que técnicas de Bash con décadas de antigüedad —eliminación de comillas, uso de $IFS, sustituciones— bastan para saltarse los filtros de comandos de los agentes de codificación de IA y abrir la puerta a ataques de cadena de suministro.
El problema
Los agentes de codificación (Copilot-style, Cursor, Cline y similares) ejecutan comandos de shell en nombre del desarrollador y aplican guardas de patrones ("no ejecutes curl … | bash", "bloquea rm -rf") para evitar acciones peligrosas. El fallo: esas guardas comparan texto, y Bash ofrece decenas de formas de escribir el mismo comando de forma que el filtro no lo reconozca:
- Eliminación de comillas:
c""url,c'u'rl→ el shell lo interpreta comocurl, pero el filtro literal no lo detecta. $IFSen lugar de espacios:cat$IFS/etc/passwd.- Sustituciones y expansiones que reconstruyen la cadena en tiempo de ejecución.
El estudio define cinco clases (A–E) de bypass y prueba 11 agentes: 10 resultaron vulnerables; solo Continue resistió. El vector práctico es la cadena de suministro: un README, Makefile o script de instalación con comandos ofuscados que el agente ejecuta automáticamente al abrir o construir el proyecto.
Recomendaciones inmediatas
- No confíes en filtros de texto: la validación debe hacerse sobre el comando resuelto, no sobre la cadena literal.
- Ejecuta los agentes en sandbox sin acceso a credenciales ni a la red por defecto.
- Exige aprobación humana para cualquier ejecución de shell que un agente proponga.
- Trata los
README/Makefilede repositorios de terceros como contenido no confiable.
¿Estás cubierto en DefensOps?
DefensOps detecta la ejecución ofuscada en shell, sea quien sea quien la lance:
- T1059.004 – Shell de Unix: reglas nativas para comandos con
quote removal,$IFSy sustituciones que reconstruyen binarios comocurl/bashen tiempo de ejecución. Disponible desde Essential. - T1027 – Ofuscación y T1195 – Cadena de suministro: el motor de correlación eleva el incidente cuando un proceso de build/agente lanza descargas o ejecución remota a partir de un artefacto de repositorio.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: SecurityWeek
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1059.004, T1027, T1195
- Ejecución de comandos ofuscados vía shell (quote removal / $IFS) · T1059.004 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.