Descargó, abrió, destruyó: cómo agentes de IA como Claude y Copilot entregan tu PC a los hackers sin que te des cuenta

En la reciente conferencia Chaos Communication Congress en Alemania se hizo una nueva advertencia sobre las amenazas relacionadas con el uso de agentes de IA. Según el especialista en seguridad informática Johann Reberger, un equipo con un sistema instalado como Claude Code, GitHub Copilot, Google Jules u otras soluciones similares se vuelve inmediatamente vulnerable a ataques que no requieren la intervención del usuario. Basta una línea en una página web o en un documento para que el agente reciba instrucciones maliciosas.

Según las demostraciones presentadas, los asistentes de IA resultan especialmente vulnerables a ataques que insertan comandos en solicitudes de texto comunes. Uno de los ejemplos fue un sitio que contenía una sola frase solicitando descargar un archivo. Claude, que usa una herramienta de interacción con el equipo, no solo lo descargó, sino que además lo convirtió automáticamente en ejecutable, abrió una terminal y conectó el dispositivo a una botnet. Para realizar estas acciones ni siquiera fue necesario que el usuario pulsara teclas.

Reberger subrayó que los modelos de aprendizaje automático tienen capacidades significativas, pero son extremadamente vulnerables en presencia de un atacante. También señaló que grandes empresas, como Anthropic, no eliminan por sí mismas las vulnerabilidades en la lógica de los agentes, ya que están integradas en la arquitectura de los sistemas. Los dispositivos en los que se utilizan herramientas de IA deben considerarse ya comprometidos, especialmente si los agentes tienen acceso a funciones de control del equipo.

Durante la presentación se mostraron varios escenarios en los que los agentes ejecutan comandos maliciosos. Uno de ellos incluyó una infección mediante instrucciones divididas, colocadas en diferentes sitios. En particular, el asistente de IA Devin, al recibir comandos parciales de dos fuentes, desplegó un servidor web, abrió el acceso a los archivos del usuario y envió el enlace al atacante.

Reberger también mostró un método de inserción de texto invisible, utilizando la herramienta ASCII Smuggler. Esos símbolos son imposibles de notar en la mayoría de los editores, pero los agentes de IA los interpretan como comandos. Como resultado, Google Jules y Antigravity ejecutaron instrucciones, descargaron software malicioso y abrieron acceso remoto al sistema.

Según Reberger, el nuevo modelo Gemini 2.0 reconoce especialmente bien los caracteres ocultos, y eso afecta a todas las aplicaciones construidas sobre su base. Incluso agentes locales como Anthropic Cloud Code o Amazon Developer pueden ejecutar comandos del sistema, lo que permite eludir las protecciones y acceder a información confidencial.

También se presentó la concepción de un virus de IA llamado AgentHopper. Se propaga no mediante código, sino gracias a la interacción entre agentes de IA. Una solicitud maliciosa se inserta en un repositorio, tras lo cual los agentes la copian a otros proyectos y la transmiten. La misma solicitud puede adaptarse a un asistente de IA concreto empleando operadores condicionales.

Reberger contó que para crear este modelo de virus utilizó Gemini, y destacó cuánto se ha simplificado la escritura de software malicioso con las herramientas modernas de IA.

En conclusión, el experto recomendó no confiar nunca en los resultados de los modelos de lenguaje y minimizar el acceso de los agentes a los recursos del sistema. Como solución ideal mencionó el uso de la containerización, por ejemplo mediante Docker, así como la prohibición total del modo de ejecución automática de comandos.

Según Reberger, los proveedores de herramientas de IA reconocen abiertamente que no pueden garantizar la seguridad de sus productos. Por eso la conclusión principal es que siempre se debe partir de la suposición de una posible compromisión del sistema.