{"id":1110,"date":"2026-04-17T22:52:57","date_gmt":"2026-04-17T22:52:57","guid":{"rendered":"https:\/\/huavi.pe\/blog\/el-peligro-de-los-agentes-de-ia-en-el-codigo-la-amenaza-comment-and-control\/"},"modified":"2026-04-17T22:52:57","modified_gmt":"2026-04-17T22:52:57","slug":"el-peligro-de-los-agentes-de-ia-en-el-codigo-la-amenaza-comment-and-control","status":"publish","type":"post","link":"https:\/\/huavi.pe\/blog\/el-peligro-de-los-agentes-de-ia-en-el-codigo-la-amenaza-comment-and-control\/","title":{"rendered":"El peligro de los agentes de IA en el c\u00f3digo: la amenaza &#8216;Comment and Control&#8217;"},"content":{"rendered":"<div style=\"margin: 35px 0; text-align: center;\">\r\n        <script type=\"text\/javascript\">atOptions = {\"key\":\"6c15bf9fb10d44f6b0ff8bee4e534e00\",\"format\":\"iframe\",\"height\":90,\"width\":728,\"params\":{}};<\/script>\r\n        <script type=\"text\/javascript\" src=\"https:\/\/www.highperformanceformat.com\/6c15bf9fb10d44f6b0ff8bee4e534e00\/invoke.js\"><\/script>\r\n    <\/div>\n<p>En equipos de desarrollo modernos, es habitual apoyarse en agentes de inteligencia artificial para revisar incidencias o analizar cambios de c\u00f3digo. Sin embargo, surge un riesgo cr\u00edtico cuando estos sistemas no solo leen informaci\u00f3n externa, sino que operan en espacios donde conviven claves, tokens y permisos sensibles. Una investigaci\u00f3n reciente alerta: el problema va m\u00e1s all\u00e1 de una simple herramienta \u00fatil; es una arquitectura potencialmente peligrosa si se despliega sin l\u00edmites claros.<\/p>\n<div style=\"text-align: center; margin: 35px 0;\"><a href=\"https:\/\/www.profitablecpmratenetwork.com\/xkij9dqp?key=36211ba9dcf53ed7e55fa2e71272a37e\" target=\"_blank\" style=\"background: var(--accent); color: #fff; padding: 14px 28px; border-radius: 50px; text-decoration: none; font-weight: 700; font-size: 0.85rem; display: inline-block; box-shadow: 0 4px 15px rgba(0,85,255,0.2);\">Eval\u00faa la seguridad de tus flujos de trabajo con Gemini.<\/a><\/div>\n<p>La alarma fue encendida por Aonan Guan e investigadores de Johns Hopkins al demostrar ataques contra tres agentes l\u00edderes en la plataforma de desarrollo: Claude Code Security Review (Anthropic), Gemini CLI Action (Google) y GitHub Copilot Agent (Microsoft). Aunque las compa\u00f1\u00edas pagaron recompensas econ\u00f3micas, el hallazgo apunta a una vulnerabilidad sist\u00e9mica.<\/p>\n<div style=\"margin: 35px 0; text-align: center;\">\r\n        <script type=\"text\/javascript\">atOptions = {\"key\":\"6fc97cf01066178bb03248c132da1bfb\",\"format\":\"iframe\",\"height\":250,\"width\":300,\"params\":{}};<\/script>\r\n        <script type=\"text\/javascript\" src=\"https:\/\/www.highperformanceformat.com\/6fc97cf01066178bb03248c132da1bfb\/invoke.js\"><\/script>\r\n    <\/div>\n<p>El mecanismo del ataque se denomina &#8216;Comment and Control&#8217;. La idea es que el atacante no necesita montar una infraestructura externa; utiliza la propia plataforma como canal de entrada y salida. Simplemente deja la instrucci\u00f3n maliciosa en un t\u00edtulo o comentario, y el agente lo procesa como si fuera parte del trabajo normal. Todo queda contenido dentro del entorno.<\/p>\n<div style=\"text-align: center; margin: 35px 0;\"><a href=\"https:\/\/www.profitablecpmratenetwork.com\/p4sabm91d?key=88da7d0446f20952699e10bf89600177\" target=\"_blank\" style=\"background: var(--accent); color: #fff; padding: 14px 28px; border-radius: 50px; text-decoration: none; font-weight: 700; font-size: 0.85rem; display: inline-block; box-shadow: 0 4px 15px rgba(0,85,255,0.2);\">Gu\u00eda avanzada: Arquitecturas seguras para IA en c\u00f3digo.<\/a><\/div>\n","protected":false},"excerpt":{"rendered":"<p>En equipos de desarrollo modernos, es habitual apoyarse en agentes de inteligencia artificial para revisar incidencias o analizar cambios de c\u00f3digo. Sin embargo, surge un riesgo cr\u00edtico cuando estos sistemas no solo leen informaci\u00f3n externa, sino que operan en espacios donde conviven claves, tokens y permisos sensibles. Una investigaci\u00f3n reciente alerta: el problema va m\u00e1s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1111,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[315,1080,975,1611,166,63,59,1233],"class_list":["post-1110","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-anthropic","tag-ciberseguridad","tag-desarrollo-de-software","tag-github","tag-global","tag-google","tag-ia","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/posts\/1110","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/comments?post=1110"}],"version-history":[{"count":0,"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/posts\/1110\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/media\/1111"}],"wp:attachment":[{"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/media?parent=1110"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/categories?post=1110"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/huavi.pe\/blog\/wp-json\/wp\/v2\/tags?post=1110"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}