Un skill de agente de IA falso pasó todos los escáneres de seguridad y, según informes, alcanzó los 26,000 agentes.

      TL;DRLa firma de seguridad AIR logró que una habilidad falsa pasara por todos los escáneres principales y dice que alcanzó 26,000 agentes al cambiar una URL externa después de que el escaneo fue aprobado.

      La firma de seguridad AIR construyó una habilidad de agente de IA falsa, la impulsó a través de un mercado de habilidades popular y la promocionó con un anuncio en Instagram, y dice que alcanzó aproximadamente 26,000 agentes, incluidos algunos en cuentas corporativas. Cada escáner de seguridad de habilidades contra el que la firma la probó la marcó como segura. La carga útil era inofensiva por diseño, recopilando solo la dirección de correo electrónico del usuario, pero AIR dice que un atacante real podría haber utilizado el mismo punto de apoyo para leer archivos, mover datos o atacar sistemas internos.

      La habilidad, llamada brand-landingpage, afirmaba construir una página de aterrizaje utilizando la herramienta de diseño Stitch de Google y estaba dirigida a usuarios no técnicos. Para hacerla parecer creíble, AIR buscó dos señales de confianza que el ecosistema aún considera prueba de seguridad: estrellas de GitHub y un veredicto limpio del escáner.

      Para las estrellas, abrió una solicitud de extracción a un repositorio del mercado de habilidades con alrededor de 36,000 estrellas y 156 habilidades. La solicitud de extracción fue fusionada después de unos días, por lo que la habilidad heredó el conteo de estrellas del repositorio. Luego, AIR ejecutó un anuncio en Instagram dirigido a comercializadores, vendedores y diseñadores, quienes la instalaron y la pusieron a trabajar.

      Los escáneres que AIR probó analizan el paquete que les entregas, lo que significa el archivo de definición de la habilidad y cualquier cosa que se envíe con él. Eso incluye herramientas de Cisco, NVIDIA y las que están integradas en los principales registros de habilidades. La habilidad de AIR no contenía instrucciones de configuración maliciosas propias, pero le decía al agente que instalara el "Stitch SDK" siguiendo la documentación en un enlace externo que controlaba, no en el dominio genuino de Google.

      El 💜 de la tecnología de la UE

      Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora!

      Al principio, el enlace conducía a la documentación real de Stitch, por lo que los escáneres vieron un paquete limpio que apuntaba a una página de configuración plausible y lo aprobaron. La página que el agente realmente buscaría y seguiría estaba fuera del escaneo. Una vez que la habilidad se instaló ampliamente, AIR cambió la página detrás de ese enlace por una que le decía al agente que descargara y ejecutara un script.

      La técnica no es nueva. Tres semanas antes de que AIR publicara sus resultados, Trail of Bits eludió el detector de habilidades maliciosas de ClawHub, el escáner de Cisco y los tres escáneres integrados en los principales registros de habilidades. Su conclusión fue que un escáner verifica un paquete fijo mientras que un atacante puede seguir ajustando la carga útil hasta que pase.

      Las campañas reales han utilizado el mismo truco durante meses, manteniendo la habilidad presentada limpia y alojando la carga útil en un sitio que el agente solo busca en el momento de la instalación.

      El problema es estructural. El escaneo ocurre una vez, pero la página a la que una habilidad apunta al agente puede ser reescrita en cualquier momento después. La propia documentación de Anthropic advierte que las habilidades que buscan URL externas son arriesgadas precisamente por esta razón, ya que el contenido puede cambiar después de que la habilidad sea verificada.

      Investigaciones separadas este año encontraron que siete escáneres principales coinciden en menos de uno de cada quinientos de sus banderas combinadas, porque cada uno juzga una habilidad en aislamiento, ciego a enlaces externos y a lo que cambia después de la revisión.

      Las cifras de escala provienen solo de AIR y merecen una lectura escéptica. La firma está lanzando un mercado de habilidades gestionado y cierra su informe promocionándolo, por lo que el número de 26,000, el detalle de la cuenta corporativa y la afirmación de que podría haber tomado el control total de cada agente no están confirmados de manera independiente. Lo que se sostiene es el método: los escáneres nombrados realmente solo juzgan el paquete presentado, el punto ciego de los enlaces externos es real y ha sido demostrado de manera independiente, y las señales de confianza que AIR tomó prestadas, estrellas y un escaneo limpio, son exactamente las que el ecosistema aún considera prueba.

      El experimento alinea cada señal de confianza débil en torno a las habilidades de los agentes en una sola ejecución: estrellas que pueden ser tomadas prestadas, un escaneo que lee una instantánea y un enlace que puede ser reescrito después de que el chequeo sea aprobado. Ya sea que la cifra real sea 26,000 o una fracción de ella, el vacío que atraviesa es uno que los defensores aún no han cerrado.

      Para los equipos de seguridad, la conclusión inmediata es la misma en la que los investigadores siguen aterrizando: trata las habilidades como software, no como texto, y verifica a qué apunta una habilidad, no solo lo que se envía dentro de ella. Rutea nuevas habilidades a través de una única fuente que controlas, vuelve a verificarlas cuando algo cambie, fija versiones y mantén a los agentes con el menor privilegio.