Gen declara la guerra a agentes de IA que roban contraseñas: el antivirus Sage los detecta justo antes del sabotaje
¿Qué ocurre cuando un asistente de IA consigue acceso root? Sage tiene la respuesta y asusta a los hackers.
Los agentes de IA cada vez realizan con más frecuencia tareas que antes se ejecutaban manualmente: lanzar comandos en el terminal, editar archivos en un repositorio, instalar dependencias, descargar utilidades de internet. Este modo ya está integrado en herramientas como Claude Code, Cursor y OpenClaw. Todo se basa en una condición simple: el acceso a la máquina de trabajo abre el camino a tokens, claves, repositorios privados y otros secretos.
Los errores son peligrosos porque las acciones se ejecutan con rapidez y sin pausa para aclarar. Un asistente neuronal puede confundir el nombre de un paquete e intentar instalar una dependencia que no existe en el registro. La automatización puede extraer un secreto del entorno y registrarlo por accidente, insertar el valor en un archivo ajeno o pasar el valor a un comando que verán terceros. A veces la descarga de un archivo ejecutable termina con su ejecución inmediata, porque ese orden aparece con frecuencia en las instrucciones. Historias similares ya han ocurrido, cuando el asistente propone descargar un script y ejecutarlo de inmediato, o cuando el asistente intenta insertar una clave de API en un archivo al que la clave no debería estar relacionada.
La amenaza también viene del exterior. Las plataformas con estas herramientas atraen a atacantes, porque el acceso suele incluir lectura de archivos, escritura de archivos, solicitudes de red y ejecución de comandos. Un enlace malicioso, una dependencia envenenada o un complemento infectado convierten el entorno de trabajo en un punto de entrada. Después, al atacante solo le hace falta una cosa: que el paso necesario se ejecute automáticamente.
Ya hubo un ejemplo en la práctica. En ClawHub, el catálogo público de extensiones para OpenClaw, se encontraron unos 400 skills maliciosos. Al momento del descubrimiento esos complementos representaban alrededor del 12% de todo el catálogo. Muchos parecían módulos comunes y replicaban funcionalidad legítima, pero en su interior ocultaban lógica que empujaba a descargar y ejecutar malware.
Poco a poco se confía a estas herramientas tareas en las que un fallo causa pérdidas reales. Se trata de pagos, gestión de infraestructura y procesos que manejan datos sensibles. Las capacidades crecen más rápido que las revisiones habituales, por eso la brecha entre los privilegios y el control se vuelve más evidente.
La empresa Gen, propietaria de las marcas Norton, Avast, LifeLock y AVG, lanzó Sage. La herramienta supervisa las acciones durante la ejecución, no solo en la fase de instalación de la extensión. La comprobación se activa en el momento en que el paso programado está a punto de ejecutarse en la máquina.
Sage se integra en el flujo de trabajo y verifica cada paso: el comando de shell, la llamada a una URL, la escritura en un archivo, la instalación de un paquete. Tras la comprobación, la herramienta ofrece una de tres opciones: ejecutar, pedir una decisión al usuario o bloquear. En tareas habituales no hay intervención. La reacción aparece cuando el paso parece sospechoso.
Ese control cubre dos clases de riesgos. Desde el exterior llegan URL maliciosas y dependencias infectadas. Desde el interior llegan errores, cuando la automatización ejecuta un comando destructivo, expone secretos o modifica archivos del sistema. Uno de los escenarios típicos resulta familiar: la configuración del entorno termina con que un script se descarga de internet y se ejecuta inmediatamente. Sage reconoce esa combinación y detiene la ejecución antes de que comience.
Sage forma parte del conjunto de herramientas Gen Agent Trust Hub. Dentro del hub ya existe Skill Scanner, que evalúa la extensión antes de la instalación mediante comprobaciones y clasificación en la nube. Luego entra la parte local, que verifica las acciones concretas. Como resultado se obtiene una cadena continua: primero la decisión sobre la instalación, luego el control de cada paso durante la ejecución.
Publicaron el código fuente de Sage para que la herramienta se integre más fácilmente en el ecosistema. Las plataformas de agentes evolucionan alrededor de integraciones abiertas, complementos y API públicas; la protección cerrada suele implementarse peor. Además, la industria aún no cuenta con un enfoque ampliamente aceptado para proteger estos sistemas, por lo que el código abierto permite a la comunidad corregir las normas y añadir comprobaciones.
La primera versión de Sage no pretende sustituir al antivirus clásico. El enfoque está en los puntos de mayor riesgo: comandos, modificaciones de archivos, descargas por URL, instalación de paquetes. Se presta atención especial a las dependencias, porque un error en el nombre conduce a instalar el paquete equivocado, y el registro de un nombre similar ayuda a colar un paquete malicioso. En el proyecto declararon más de 200 reglas de detección; las reglas están dirigidas a la inyección de comandos, intentos de persistencia en el sistema, fugas de credenciales, ofuscación y ataques a la cadena de suministro.
El soporte actualmente incluye Claude Code, Cursor y OpenClaw. Proponen introducir mejoras mediante issues en el rastreador, pull requests y añadiendo soporte para nuevas plataformas. La extensibilidad está pensada desde el principio, por lo que las ampliaciones no requieren reescribir toda la arquitectura.