Agentjacking: cuando un simple registro de error convierte a un asistente de IA en ejecutor de órdenes ajenas
Los desarrolladores confían más en la automatización para tareas rutinarias, pero un nuevo esquema demuestra que no conviene.
Últimamente los asistentes de IA se han convertido en una herramienta habitual para analizar errores, pero incluso un informe de fallos puede transformarse en una instrucción para ejecutar código ajeno en la máquina de trabajo. Los especialistas de Tenet Threat Labs demostraron la técnica Agentjacking, en la que informes falsos de Sentry hacen que agentes de IA ejecuten las instrucciones del atacante.
En el escenario mostrado, el atacante no necesita contraseñas ni acceso a la red interna de la empresa. Basta con encontrar en el código visible del sitio el identificador del proyecto de Sentry, que a menudo es público porque las aplicaciones lo usan para enviar informes de errores. A partir de ahí, el atacante puede enviar un informe falso a Sentry.
La parte central del ataque se basa en la inyección de instrucciones. El texto malicioso se oculta dentro del contenido del informe mediante Markdown. Cuando un desarrollador pide al agente de IA que investigue el problema a través del servidor MCP de Sentry, el agente lee el informe falso como contexto operativo y puede interpretar las instrucciones incrustadas como una tarea de confianza.
En la demostración de Tenet, la sección falsa con la solución pedía al agente ejecutar el comando npx @tenet-controlled-validation-package --diagnose. El comando descargaba y ejecutaba un paquete npm controlado desde el registro público. Según los expertos, la misma vía podría usarse para ejecutar código de forma remota si en lugar del paquete de prueba se suministra uno malicioso.
Tenet verificó la técnica en entornos con Claude Code, Cursor y OpenAI Codex en Windows, macOS y en cadenas automatizadas en la nube. Durante el periodo de verificación, finalizado el 17 de junio de 2026, los especialistas encontraron 2388 organizaciones con DSN de Sentry expuestos. En más de 100 empresas globales, los asistentes de IA ejecutaron el código controlado por Tenet.
El riesgo real no se limita a la mera ejecución del comando. El paquete malicioso podría operar con los permisos de la cuenta local del desarrollador e intentar acceder a secretos como claves de AWS, tokens de GitHub o claves SSH. Las defensas habituales pueden pasar por alto esa cadena porque las acciones parecen realizadas por herramientas de confianza y por un usuario autorizado.
Tenet informó del problema a Sentry el 3 de junio de 2026. Según la empresa, Sentry añadió un filtro que bloquea el texto concreto mostrado en la demostración, pero la naturaleza del problema complica una solución universal: los agentes de IA no siempre distinguen entre datos no confiables e instrucciones. Para reducir el riesgo, Tenet publicó la herramienta gratuita Agent-JackStop, que pretende reforzar la protección de Cursor y Claude Code frente a inyecciones de instrucciones procedentes de fuentes externas.