Netcrook Logo
👤 NEURALSHIELD
🗓️ 16 Apr 2026  

Sabotaje Silencioso: Cómo los Hackers Convierten Comentarios Inocentes en Pesadillas de Seguridad para el Código con IA

Nuevas investigaciones exponen una vulnerabilidad de IA multiplataforma donde comentarios maliciosos en GitHub pueden secuestrar potentes agentes de automatización, poniendo en riesgo credenciales sensibles.

Todo comenzó con un comentario: una línea de texto aparentemente inofensiva dejada en una solicitud de extracción (pull request) de GitHub. Pero para algunas de las herramientas de automatización y seguridad de código con IA más confiables del mundo, ese comentario era un arma cargada. En un informe escalofriante, el investigador de seguridad Aonan Guan y colaboradores de la Universidad Johns Hopkins han revelado un nuevo ataque de inyección de prompts, bautizado como “Comment and Control” (“Comenta y Controla”), que puede comprometer Claude Code de Anthropic, Gemini CLI de Google y los Agentes de Copilot de GitHub con una facilidad alarmante. Los atacantes no necesitan exploits avanzados ni ingeniería social: basta con un comentario bien diseñado en GitHub para convertir a los asistentes de IA en herramientas para el cibercrimen.

Anatomía de una Brecha Silenciosa

El ataque “Comment and Control” es tan insidioso como simple. En esencia, explota la confianza que los agentes de IA depositan en los datos extraídos de GitHub - comentarios, títulos de pull request (PR) y cuerpos de issues. Estos agentes, diseñados para automatizar revisiones de código y controles de seguridad, ingieren estos datos para ofrecer sugerencias útiles o aplicar políticas de seguridad. Pero, como descubrió el equipo de Guan, esta entrada puede ser convertida en un arma.

En una demostración, los investigadores insertaron un prompt malicioso en el título de un PR. Cuando el agente de Revisión de Seguridad de Código Claude de Anthropic procesó el PR, ejecutó sin saberlo comandos arbitrarios, extrajo credenciales sensibles y las registró como si fueran hallazgos legítimos. La acción Gemini CLI de Google cayó en una trampa similar, filtrando una clave API completa tras leer un comentario de issue envenenado. Con el Agente Copilot de GitHub, un comentario HTML oculto permitió que el ataque eludiera los filtros integrados, permitiendo que los secretos fueran detectados y las protecciones de red, burladas.

Lo más alarmante es la automatización: en la mayoría de los casos, el ataque se desencadena sin intervención humana más allá del comentario inicial. La única excepción es Copilot, donde la víctima debe asignar manualmente el issue al agente. Aun así, la falla subyacente es sistémica: cualquier agente de IA que procese entradas no confiables y tenga acceso a herramientas o secretos sensibles está en riesgo, no solo los de GitHub. Los investigadores advierten que este patrón podría extenderse a bots de Slack, agentes de Jira, asistentes de correo electrónico y herramientas de despliegue.

Respuesta de la Industria: ¿Curitas para Fracturas?

Los tres proveedores afectados reconocieron el problema. Anthropic lo calificó de “crítico”, pagó una recompensa de $100 y aplicó algunas mitigaciones. Google ofreció $1,337, mientras que GitHub otorgó $500, calificando la vulnerabilidad como una “limitación arquitectónica conocida”. El consenso: esto no es un error peculiar, sino una omisión de diseño. Múltiples capas de defensa - barreras en el modelo, filtros de prompts, restricciones en tiempo de ejecución - pueden ser eludidas, porque los agentes están diseñados para procesar justamente este tipo de entradas ricas en contexto.

A medida que la IA continúa automatizando la cadena de suministro de software, la industria se enfrenta a una pregunta inquietante: ¿podemos confiar en máquinas que obedecen ciegamente la entrada del usuario, incluso cuando esa entrada proviene de las mismas personas a las que deben proteger?

WIKICROOK

  • Inyección de Prompts: La inyección de prompts ocurre cuando los atacantes introducen entradas dañinas a una IA, haciendo que actúe de formas no intencionadas o peligrosas, a menudo eludiendo las salvaguardas normales.
  • GitHub Actions: GitHub Actions automatiza tareas como pruebas y despliegue de código en GitHub. Aunque aumenta la productividad, puede ser mal utilizada si no se asegura adecuadamente.
  • Pull Request (PR): Una pull request (PR) permite a los desarrolladores proponer y revisar cambios de código antes de fusionarlos al proyecto principal, mejorando la seguridad y la calidad.
  • Clave API: Una clave API es un código único que permite a los programas acceder a datos o servicios. Si no se protege adecuadamente, puede representar un riesgo de ciberseguridad.
  • Guardrails (Barrera de Seguridad): Las barreras de seguridad son reglas o sistemas integrados que evitan que la IA genere contenido inseguro, ofensivo o peligroso, protegiendo a los usuarios y manteniendo la seguridad.

Conclusión: El ataque “Comment and Control” es una llamada de atención para todo el ecosistema de IA y DevOps. A medida que confiamos más poder a los agentes automatizados, los atacantes solo necesitan un comentario para tomar el control. Hasta que la arquitectura cambie, cada línea de código o comentario inocente podría ser una brecha potencial esperando a ocurrir.

AI Security Prompt Injection GitHub Vulnerability
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news