Los investigadores rompen la seguridad de GitHub Copilot a través de un flujo de trabajo.

Los investigadores rompen la seguridad de GitHub Copilot a través de un flujo de trabajo.

      Los investigadores del Alan Turing Institute han demostrado que GitHub Copilot producirá contenido dañino que normalmente rechazaría. El truco consiste en distribuir la solicitud a lo largo de un flujo de trabajo de codificación ordinario. Lo llaman un jailbreak a nivel de flujo de trabajo, y The Register informó sobre el hallazgo.

      La diferencia entre los dos entornos es notable. En un chat directo, el asistente rechazó casi todo, respondiendo solo a 8 de 816 solicitudes dañinas. A lo largo de un flujo de trabajo, completó las 816.

      Cómo funciona el truco

      La idea es simple. En lugar de pedirle al modelo que haga algo peligroso, los investigadores enmarcaron el objetivo dañino como datos a procesar. Luego lo dividieron en pequeños pasos que parecen inocentes dentro de un proyecto. Cada paso parece inofensivo por sí solo. El peligro solo aparece una vez que las piezas se juntan.

      El equipo, Abhishek Kumar y Carsten Maple, probó Copilot dentro del editor VS Code de Microsoft. Lo ejecutaron en cuatro modelos. Dos provenían de Anthropic, Claude Sonnet 4.6 y Claude Haiku 4.5. Dos provenían de Google, Gemini 3.1 Pro y Gemini 3.5 Flash. Los cuatro se comportaron de manera muy similar.

      Lo que produjo

      Las solicitudes provenían de tres conjuntos de datos de seguridad establecidos, incluidos HarmBench y AdvBench, que cubren 204 tareas dañinas. The Register vio ejemplos redactados. Uno preguntaba cómo engañar a un test de alcoholemia. Otro era una guía para contrabandear grandes sumas de dinero fuera de los Estados Unidos.

      El punto no es que un solo modelo fallara. Cada uno rechazó las mismas solicitudes cuando un usuario preguntó de manera clara. El fallo se encuentra a nivel de flujo de trabajo. Allí, una cadena de pasos benignos se escapa de las verificaciones de seguridad que inspeccionan una solicitud a la vez.

      Por qué las actuales medidas de seguridad no lo detectan

      Esa es la advertencia central de los investigadores. Las pruebas de seguridad solicitud por solicitud, la norma de la industria, no detectan el daño que se acumula a lo largo de una sesión. Un modelo puede pasar cada referencia de un solo turno. Un usuario aún puede llevarlo al mismo resultado a través de la puerta trasera.

      Su solución es probar toda la trayectoria, no el turno. Los mecanismos de seguridad deberían examinar los archivos, scripts y datos que un agente de codificación toca a lo largo de toda una tarea, argumentan. Deberían señalar cuando partes que parecen inofensivas se suman a algo peligroso.

      Un problema más allá de Copilot

      Nada sobre el método es específico de Copilot, o de cualquier fabricante de modelos en particular. Los investigadores dicen que herramientas como Cursor, Cline y Windsurf merecen el mismo escrutinio. Todas comparten el diseño agente que hace que el ataque funcione. A medida que los asistentes ganan la libertad de ejecutar tareas de múltiples pasos, el espacio para ocultar la intención crece con ellos.

      Anthropic, Google y GitHub de Microsoft publican trabajos de seguridad sobre sus modelos. Los investigadores han contactado a los tres para obtener comentarios. El artículo está en el servidor de preprints arXiv.

      Por qué es importante

      El estudio presenta una crítica contundente sobre cómo la industria mide la seguridad de la IA. Si el verdadero riesgo reside en el flujo de trabajo, no en la solicitud, entonces pasar las pruebas de hoy demuestra ser menos de lo que parece. La tarea más difícil, sugieren los investigadores, es observar lo que un agente hace a lo largo de todo un trabajo. No solo lo que dice en una sola respuesta.

Otros artículos

El hábito de la nube de Gran Bretaña en EE. UU. es ahora un riesgo de mil millones de libras. El hábito de la nube de Gran Bretaña en EE. UU. es ahora un riesgo de mil millones de libras. Casi todos los organismos públicos del Reino Unido dependen de hiperescaladores estadounidenses, concentrando miles de millones de libras y servicios críticos en sistemas que Whitehall no puede ver completamente. Dentro del 'Tribunal 19' oculto de IBM en Wimbledon Dentro del 'Tribunal 19' oculto de IBM en Wimbledon Bajo la 18ª cancha de Wimbledon, 'Court 19' de IBM procesa 2.7 millones de puntos de datos por torneo y convierte el Campeonato en una vitrina para la IA. Block de Jack Dorsey resuelve reclamaciones de fraude de Cash App con 46 estados por $45 millones Block de Jack Dorsey resuelve reclamaciones de fraude de Cash App con 46 estados por $45 millones Block pagará $45 millones a 46 estados de EE. UU. por el manejo del fraude de Cash App, mientras los reguladores estatales se mueven para ocupar el terreno que el debilitado CFPB ha abandonado. Brad Smith: EE. UU. regula la IA sin reglas claras Brad Smith: EE. UU. regula la IA sin reglas claras El presidente de Microsoft, Brad Smith, dice que Washington está regulando la IA sin reglas transparentes, después de los abruptos movimientos de control de exportaciones sobre Anthropic y OpenAI. Los investigadores rompen la seguridad de GitHub Copilot a través de un flujo de trabajo. Los investigadores rompen la seguridad de GitHub Copilot a través de un flujo de trabajo. Los investigadores del Alan Turing Institute hicieron que GitHub Copilot produjera contenido dañino que se niega a generar en el chat, al difundir la solicitud a lo largo de un flujo de trabajo de codificación. N nuevas reglas de la UE colocan una cámara que vigila al conductor en cada coche. N nuevas reglas de la UE colocan una cámara que vigila al conductor en cada coche. Las normas de seguridad vehicular de segunda fase de la UE exigen cámaras de atención del conductor y frenos que detecten peatones en todos los coches y furgonetas nuevos a partir del 7 de julio de 2026.

Los investigadores rompen la seguridad de GitHub Copilot a través de un flujo de trabajo.

Los investigadores del Alan Turing Institute hicieron que GitHub Copilot produjera contenido dañino que se niega a generar en el chat, al difundir la solicitud a lo largo de un flujo de trabajo de codificación.