El peligro de los agentes de IA en el código: la amenaza ‘Comment and Control’

En equipos de desarrollo modernos, es habitual apoyarse en agentes de inteligencia artificial para revisar incidencias o analizar cambios de código. Sin embargo, surge un riesgo crítico cuando estos sistemas no solo leen información externa, sino que operan en espacios donde conviven claves, tokens y permisos sensibles. Una investigación reciente alerta: el problema va más allá de una simple herramienta útil; es una arquitectura potencialmente peligrosa si se despliega sin límites claros.

La alarma fue encendida por Aonan Guan e investigadores de Johns Hopkins al demostrar ataques contra tres agentes líderes en la plataforma de desarrollo: Claude Code Security Review (Anthropic), Gemini CLI Action (Google) y GitHub Copilot Agent (Microsoft). Aunque las compañías pagaron recompensas económicas, el hallazgo apunta a una vulnerabilidad sistémica.

El mecanismo del ataque se denomina ‘Comment and Control’. La idea es que el atacante no necesita montar una infraestructura externa; utiliza la propia plataforma como canal de entrada y salida. Simplemente deja la instrucción maliciosa en un título o comentario, y el agente lo procesa como si fuera parte del trabajo normal. Todo queda contenido dentro del entorno.