Anthropic, Google y Microsoft cerraron silenciosamente errores en agentes de IA sin CVE ni advertencias

El problema con los agentes de IA en desarrollo resultó no ser teórico: el investigador de seguridad Aonan Guan demostró que las herramientas de Anthropic, Google y Microsoft integradas en GitHub Actions pueden ser interceptadas mediante inyección de prompts y convertidas en un canal de fuga de secretos. En los tres casos, al agente le bastaba leer texto preparado por un atacante en un contexto de trabajo ordinario, después de lo cual publicaría claves de API, tokens de GitHub y otros datos del entorno CI por sí mismo. El ataque fue nombrado Comment and Control.

Su esencia es que las instrucciones maliciosas no se esconden en un exploit separado o servidor externo, sino directamente en datos de GitHub que el agente ya está obligado a leer para su funcionamiento: en el encabezado de la solicitud de extracción, en la descripción del problema, en comentarios y, en un escenario, incluso en un comentario HTML oculto. Después de esto, el agente percibe el texto no como datos, sino como un comando. Desde ahí, el esquema es simple: el bot lee la instrucción inyectada, ejecuta la acción necesaria, extrae secretos del entorno de ejecución de GitHub Actions y devuelve el resultado a GitHub mismo — por ejemplo, en un comentario de PR, comentario de problema, commit o registro del pipeline.

En el caso de Anthropic, el componente vulnerable era Claude Code Security Review — una acción de GitHub para verificar solicitudes de extracción en busca de problemas de seguridad. Guan demostró que era suficiente inyectar un payload en el encabezado del PR para que el agente ejecutara comandos e incluyera el resultado en su respuesta JSON, que luego se publicaba en un comentario. Según la cronología del investigador, el informe se envió a Anthropic el 17 de octubre de 2025, la empresa asignó al problema una severidad CVSS de 9.

4 y el 25 de noviembre pagó $100 de bug bounty. La corrección se redujo a la restricción parcial de llamadas peligrosas y la actualización de la sección de consideraciones de seguridad en la documentación, pero la empresa no emitió ningún aviso de seguridad público ni un CVE separado. Un escenario similar funcionó contra Google Gemini CLI Action.

Aquí el atacante agregaba a problemas y comentarios texto que se disfrazaba como un fragmento de contexto confiable y anulaba las instrucciones de protección del modelo. Como resultado, el agente publicaba su propia clave GEMINI_API_KEY como un comentario ordinario. Según la cronología de Guan, Google recibió el informe el 29 de octubre de 2025 y el 20 de enero de 2026 pagó $1.

337. GitHub Copilot Agent, que pertenece a la línea de productos de Microsoft, tenía un esquema aún más interesante: la instrucción maliciosa se colocaba en un comentario HTML, invisible para humanos en la representación de Markdown, pero legible para el agente. Después de que se le asignara una tarea, Copilot seguía estas instrucciones a pesar de capas de protección adicionales como filtrado de entorno, escaneo de secretos y restricciones de red.

GitHub cerró inicialmente el informe como informativo, luego después de una revisión adicional lo reabrió y el 9 de marzo pagó $500. La conclusión más desagradable aquí no es sobre el tamaño del bounty, sino sobre el modelo de divulgación. Ni Anthropic, ni Google, ni GitHub emitieron advertencias públicas en el formato acostumbrado para seguridad, y los CVEs para estos casos nunca aparecieron.

Esto significa que los equipos que fijaron versiones anteriores de acciones o integraciones podrían nunca haber sabido sobre el riesgo. Para los escáneres de vulnerabilidades, tal problema como si no existiera, porque no tiene un identificador estándar. Para los equipos de seguridad, es más difícil ponerlo bajo control, rastrearlo en registros y vincularlo a procedimientos internos de parches.

Formalmente, las empresas podrían considerar la inyección de prompts no como un bug clásico en el código, sino como un efecto secundario de la arquitectura del agente, pero desde un punto de vista práctico las consecuencias son las mismas que con cualquier vulnerabilidad crítica: fuga de claves de acceso y tokens del entorno donde se ejecuta la automatización. La historia también es importante porque cuestiona una suposición básica subyacente en toda la onda de automatización de IA en desarrollo. Un agente recibe simultáneamente acceso a entrada de usuario no confiable, a herramientas de ejecución de comandos y a secretos sensibles, porque de otro modo no podría hacer trabajo útil.

Es precisamente esta combinación la que crea riesgo sistémico. Si la industria continúa incrustando tales agentes en revisión de código, triage, despliegue e CI/CD sin un modelo adecuado de aislamiento y un procedimiento de divulgación de incidentes, ataques como este se convertirán no en una excepción, sino en una parte regular del modelo de amenaza.