Los investigadores del programa 0DIN de Mozilla, la plataforma de bug bounty enfocada en modelos generativos, detectaron un vector de ataque nuevo que apunta directamente a las máquinas de desarrolladores que usan agentes de codificación IA. Con un repositorio de GitHub de apariencia normal, un atacante puede tomar control completo del equipo apenas alguien lo abre con Claude Code, Codex u otra herramienta similar.
¿Cómo funciona el ataque?
El truco está en el momento y en el canal. Un script de setup dentro del repo hace una consulta DNS al arrancar y baja desde esa respuesta el comando a ejecutar. El código malicioso nunca vive dentro del repositorio, por lo que es invisible para los escáneres de seguridad, para la revisión de código humana y, crucialmente, para el propio agente IA que confía en lo que ve en disco.
Cuando Claude Code encuentra un mensaje de error rutinario durante la instalación, ejecuta el script automáticamente sin pedir confirmación. El resultado, según el informe, es una shell reversa abierta contra el atacante. Desde ahí puede robar claves de API, credenciales de login y mantener acceso persistente en la máquina de la víctima.
Un solo enlace a ese repositorio, ya sea en una publicación de empleo, un tutorial o un mensaje de Slack, alcanza para comprometer a quien lo abra con un agente IA.
¿Qué recomiendan los investigadores?
La corrección planteada por 0DIN es directa. Los agentes IA deberían mostrar el contenido de un script de setup antes de ejecutarlo, requiriendo aprobación humana explícita para instrucciones potencialmente peligrosas. En paralelo, los desarrolladores deben tratar las instrucciones de setup en repos de terceros como código no confiable, aplicando el mismo criterio de sandboxing que se usa con dependencias externas.
Contexto: prompt injection indirecto en la práctica
Este caso es un ejemplo textual de indirect prompt injection, una familia de vulnerabilidades donde el contenido malicioso no está en el prompt del usuario sino en un artefacto externo que el agente consume, ya sea una página web, un archivo README o un repositorio. Los proveedores de agentes IA vienen avisando del riesgo desde 2024, pero la mayoría de las herramientas de codificación todavía corren scripts de instalación sin aislamiento adicional cuando entran a un repositorio nuevo.
Para equipos en Chile o LatAm el mensaje operativo es sencillo. Cualquier repo que se abra por primera vez con Claude Code, Cursor, Codex o similares debería ejecutarse dentro de un contenedor efímero o un sandbox tipo devcontainer, no directamente sobre la sesión del desarrollador. Habilitar la revisión previa de scripts de setup en la configuración del agente, cuando el proveedor lo permita, agrega una segunda capa de defensa.




