La filtración de secretos en Claude Code y la creciente superficie de ataque de la IA agéntica

Un ataque podía desarrollarse en unos pocos pasos discretos:

1. Un atacante abre una incidencia o pull request aparentemente inofensivo en un repositorio público que utilice la GitHub Action de Claude Code.
2. El cuerpo de la incidencia o un comentario HTML contiene instrucciones para el agente de IA, invisibles para un revisor humano que mire la página.
3. Cuando se activa el flujo de trabajo, el modelo de IA procesa ese contenido y sigue las instrucciones ocultas para leer el archivo /proc/self/environ .
4. El modelo puede entonces ser instruido para exfiltrar los datos, por ejemplo, publicándolos en un comentario. Los investigadores notaron una técnica más refinada en la que el ataque eliminaba los primeros siete caracteres (sk-ant-) de la ANTHROPIC_API_KEY para evadir los escáneres automáticos de secretos .

Esta superficie de ataque —donde instrucciones en lenguaje natural inyectadas en datos se convierten en comandos ejecutables— es el núcleo de la inyección de prompts, un vector de amenaza que está definiendo rápidamente el panorama de seguridad para los agentes de IA.

Un parche preventivo: la cronología de la divulgación

Un detalle crítico es que se trató de una divulgación coordinada donde la solución llegó primero.

• 5 de mayo de 2026: Anthropic lanzó Claude Code 2.1.128, que mitigó la vulnerabilidad al alinear el aislamiento de la herramienta de Lectura con la limpieza de entorno ya aplicada en otras rutas de ejecución .
• 5 de junio de 2026: Microsoft publicó su análisis detallado de la amenaza, utilizando el caso de estudio para dar recomendaciones de seguridad urgentes para toda la industria .

Más allá de un fallo: siete nuevas formas en que los sistemas de IA agéntica colapsan

La revelación de Claude Code llegó acompañada de una advertencia aún más amplia. Un día antes, el 4 de junio de 2026, el AI Red Team de Microsoft publicó la versión 2.0 de su Taxonomía de Modos de Fallo en Sistemas de IA Agéntica . Esta gran actualización, basada en doce meses de pruebas reales de equipos rojos contra agentes en producción, añadió siete categorías de fallo completamente nuevas que van mucho más allá de un simple error de ejecución de código.

Los nuevos modos de fallo representan un salto significativo en cómo los investigadores de seguridad conciben los sistemas de IA autónomos:

1. Compromiso de la Cadena de Suministro Agéntica: A diferencia de los ataques tradicionales a la cadena de suministro de software, que entregan código malicioso, aquí se ven comprometidos plugins, servidores MCP o plantillas de prompt que inyectan instrucciones en lenguaje natural para alterar el comportamiento del agente sin activar los escáneres de código .
2. Secuestro de Objetivos: Un adversario crea instrucciones que parecen ayudar a completar una tarea legítima, pero que en silencio redirigen el objetivo final del agente. El agente no se ve comprometido a nivel de software, pero ha sido weaponizado para cumplir el objetivo del atacante .
3. Escalada de Confianza entre Agentes: En sistemas multi-agente, un agente comprometido puede afirmar falsamente una identidad de mayor confianza o permisos inflados ante un orquestador central que no verifica esa información de forma independiente. Es una versión en lenguaje natural del clásico problema del "administrador confundido" .
4. Ataque Visual a Agentes de Uso de Computadora (CUA): Los agentes que operan interfaces gráficas pueden ser manipulados por información visual que no es obvia para un humano, como texto oculto, elementos de la interfaz fuera de pantalla o imágenes que contienen una carga útil de inyección de prompt .
5. Contaminación del Contexto de Sesión: Un ataque sutil donde un adversario introduce información sesgada o maliciosa al principio de una sesión larga y de múltiples pasos del agente. Estos datos pueden no disparar ningún control de seguridad en un paso individual, pero corrompen el razonamiento del agente en una acción posterior aparentemente no relacionada .
6. Abuso de MCP / Plugins: Un enfoque renovado en las superficies de ataque específicas del Protocolo de Contexto de Modelo (MCP) y las arquitecturas de plugins, que se están convirtiendo en la forma estándar de ampliar las capacidades de los agentes .
7. Divulgación de Capacidades / Arquitectura: El propio agente puede ser forzado a filtrar detalles sensibles de su diseño interno —como esquemas de herramientas, interfaces de memoria o la lógica que activa la aprobación humana— dando al atacante un modelo para futuros ataques más precisos .

Esta taxonomía ampliada elevó el marco de sus 27 modos de fallo originales a 34, reflejando la creciente complejidad y la huella en el mundo real de los sistemas agénticos .

Reforzando la seguridad CI/CD en un mundo agéntico

En respuesta al caso de Claude Code y a la actualización más amplia de la taxonomía, Microsoft esbozó un conjunto de recomendaciones de seguridad para cualquier equipo que integre agentes de IA en sus pipelines de compilación. La guía subraya que el aislamiento parcial es una falsa comodidad.

• Tratar todo el contenido no confiable como un vector de inyección: Nunca ejecutar automáticamente un flujo de trabajo de un agente de IA en incidencias, PRs o comentarios de colaboradores externos. Este contenido debe ser tratado como una entrada potencialmente hostil .
• Aislar las herramientas de forma consistente: La brecha entre la herramienta Bash aislada y la herramienta de Lectura sin aislar demostró que la limpieza del entorno debe aplicarse de manera uniforme. Una sola herramienta sin aislar puede comprometer un flujo de trabajo completo .
• Aplicar el privilegio mínimo: Las propias claves API y los tokens de acceso del agente deben tener el alcance más reducido posible, limitando así el daño en caso de ser expuestos. Utilizar OIDC para credenciales de corta duración y con un propósito específico siempre que sea posible .
• Auditar la experiencia del humano en el circuito: Los controles de seguridad que dependen de una revisión humana pueden fallar si la carga útil del ataque está oculta en Markdown sin procesar o comentarios HTML que el revisor nunca ve. El paso de aprobación humana es tan fuerte como lo que se hace visible para su aprobación .
• Inventariar la cadena de suministro del agente: Los equipos deben generar una lista de materiales de software (SBOM) para cada agente desplegado, reflejando la visibilidad de la cadena de suministro que ahora es estándar para el software tradicional .

Entretejido a lo largo de esta guía está un principio arquitectónico central que la comunidad de seguridad denomina la "Regla de Dos". Originaria del marco de trabajo de Meta de octubre de 2025 para la seguridad práctica de agentes, la regla establece que un agente no debe satisfacer más de dos de las siguientes tres condiciones: procesar entradas no confiables, tener acceso a datos sensibles y poseer la capacidad de ejecutar acciones que cambien el estado externo . La vulnerabilidad de Claude Code fue una violación clásica de este principio, ya que el agente manejaba simultáneamente información de un PR no confiable y poseía credenciales poderosas.