Le permitiste a un agente de IA copiar un video; tras un reinicio, ya obedece las órdenes del atacante. Así funciona el ataque SymJack.
La ventana de la petición muestra algo verosímil, pero oculta la ruta completa.
Los especialistas de Adversa AI describieron el ataque SymJack, que revela una peligrosa vulnerabilidad en asistentes de IA populares para programación: el usuario ve una solicitud inofensiva para copiar un archivo, mientras que en el sistema al mismo tiempo puede sobrescribirse la configuración de la propia herramienta. Tras reiniciarse, ese asistente puede ejecutar el código del atacante con los privilegios del propietario del equipo.
El autor del informe, Roni Utevski, probó la técnica en Claude Code, Gemini CLI, Antigravity CLI, Cursor Agent CLI, GitHub Copilot CLI, Grok Build y OpenAI Codex CLI. Según Adversa AI, el problema no afecta a un producto aislado, sino al enfoque general de seguridad: las herramientas confían en instrucciones dentro del repositorio, muestran al usuario una imagen incompleta de la operación y no siempre verifican a dónde apunta realmente la operación de escritura.
El ataque comienza con un repositorio preparado. En él se coloca un archivo con instrucciones para el agente de IA, que parece una tarea normal para generar documentación. El asistente recibe la orden de copiar supuestos archivos multimedia de una carpeta a otra. En pantalla, el usuario ve el comando de copia de un archivo de vídeo y confirma la acción sin percibir el engaño.
La clave la juega el enlace simbólico. El archivo de destino en la carpeta de documentación en realidad apunta a la configuración de la herramienta de IA, por ejemplo, la configuración de servidores MCP. Cuando se ejecuta el comando, el sistema operativo escribe el contenido no en «vídeo», sino en el archivo de configuración. La carga útil se disfraza como un archivo con extensión .mp4, aunque en su interior hay ajustes en formato JSON o TOML que conectan un servidor MCP malicioso.
Después del reinicio, el asistente carga la nueva configuración y ejecuta el comando del atacante. En la estación de trabajo del desarrollador, ese escenario puede derivar en el robo de claves SSH, tokens en la nube y datos de sesiones. En entornos de CI el riesgo es mayor, porque los agentes a menudo operan sin confirmación manual, y los nodos de construcción almacenan claves de despliegue, material para firmar y tokens de registros.
La reacción de los proveedores fue variada. Anthropic rechazó el informe, pero luego reforzó el cuadro de confirmación en Claude Code y empezó a mostrar la ruta real después de revelar el enlace simbólico. Google y Cursor no consideraron el reporte como una nueva vulnerabilidad, OpenAI cerró el informe sobre Codex CLI como un escenario teórico, y GitHub y xAI, según Adversa AI, no habían respondido al momento de la publicación.
Los autores del informe consideran que la principal debilidad es el propio modelo de confirmación. El usuario acepta lo que ve en la ventana de solicitud, pero la ventana no muestra el resultado real de la operación. Para reducir el riesgo, se recomienda a los desarrolladores revisar los repositorios en busca de enlaces simbólicos, prohibir a los agentes de IA la escritura en los directorios de configuración mediante comandos de shell, desactivar el inicio automático de los servidores MCP del proyecto y aislar los entornos de CI que procesan solicitudes de fusión no verificadas.