Investigadores de ciberseguridad han descubierto una vulnerabilidad en el entorno de desarrollo integrado (IDE) agente de Google, Antigravity, que podría explotarse para lograr la ejecución de código.

La falla, ya parcheada, combina las capacidades permitidas de creación de archivos de Antigravity con una desinfección de entrada insuficiente en la herramienta de búsqueda de archivos nativa de Antigravity, find_by_name, para evitar las fallas del programa. Modo estrictouna configuración de seguridad restrictiva que limita el acceso a la red, evita escrituras fuera del espacio de trabajo y garantiza que todos los comandos se ejecuten dentro de un contexto de la zona de pruebas.

«Al inyectar el indicador -X (exec-batch) a través del parámetro Patrón [in the find_by_name tool]un atacante puede obligar a fd a ejecutar binarios arbitrarios en archivos del espacio de trabajo», dijo Dan Lisichkin, investigador de Pillar Security. dicho en un análisis.

«Combinado con la capacidad de Antigravity para crear archivos como una acción permitida, esto permite una cadena de ataque completa: preparar un script malicioso y luego activarlo a través de una búsqueda aparentemente legítima, todo sin interacción adicional del usuario una vez que llega la inyección».

El ataque aprovecha el hecho de que la llamada a la herramienta find_by_name se ejecuta antes de que se aplique cualquiera de las restricciones asociadas con el modo estricto y, en cambio, se interpreta como una invocación de herramienta nativa, lo que lleva a la ejecución de código arbitrario. Si bien el parámetro Pattern está diseñado para aceptar un patrón de búsqueda de nombre de archivo para activar una búsqueda de archivos y directorios usando fd hasta find_by_name, se ve socavado por una falta de validación estricta, pasando la entrada directamente al comando fd subyacente.

Por lo tanto, un atacante podría aprovechar este comportamiento para preparar un archivo malicioso e inyectar comandos maliciosos en el parámetro Pattern para desencadenar la ejecución de la carga útil.

«El indicador crítico aquí es -X (exec-batch). Cuando se pasa a fd, este indicador ejecuta un binario específico en cada archivo coincidente», explicó Pillar. «Al crear un valor de patrón de -Xsh, un atacante hace que fd pase archivos coincidentes a sh para su ejecución como scripts de shell».

Alternativamente, el ataque se puede iniciar mediante una inyección indirecta sin tener que comprometer la cuenta de un usuario. En este enfoque, un usuario desprevenido extrae un archivo aparentemente inofensivo de una fuente no confiable que contiene comentarios ocultos controlados por el atacante que instruyen al agente de inteligencia artificial (IA) a preparar y activar el exploit.

Tras la divulgación responsable el 7 de enero de 2026, Google abordó la deficiencia a partir del 28 de febrero.

«Las herramientas diseñadas para operaciones restringidas se convierten en vectores de ataque cuando sus entradas no están estrictamente validadas», dijo Lisichkin. «El modelo de confianza que sustenta las suposiciones de seguridad, de que un humano detectará algo sospechoso, no se sostiene cuando agentes autónomos siguen instrucciones de contenido externo».

Los hallazgos coinciden con el descubrimiento de una serie de fallas de seguridad ahora parcheadas en varias herramientas impulsadas por IA:

• Se ha descubierto que Anthropic Claude Code Security Review, Google Gemini CLI Action y GitHub Copilot Agent son vulnerables a la inyección rápida a través de comentarios de GitHub, lo que permite a un atacante convertir títulos de solicitudes de extracción (PR), cuerpos de problemas y comentarios de problemas en vectores de ataque para el robo de claves API y tokens. El ataque de inyección rápida ha recibido el nombre en clave Comentar y controlarya que convierte en arma el ataque de un agente de IA. acceso elevado y su capacidad para procesar entradas de usuarios que no son de confianza para ejecutar instrucciones maliciosas.
• «El patrón probablemente se aplica a cualquier agente de IA que ingiere datos de GitHub que no son de confianza y tiene acceso a herramientas de ejecución en el mismo tiempo de ejecución que los secretos de producción, y más allá de GitHub Actions, a cualquier agente que procesa entradas que no son de confianza con acceso a herramientas y secretos: bots de Slack, agentes de Jira, agentes de correo electrónico, automatización de implementación», dijo el investigador de seguridad Aonan Guan. «La superficie de inyección cambia, pero el patrón es el mismo».
• Otra vulnerabilidad en Claude Code, descubierto por ciscoes capaz de envenenar la memoria del agente de codificación y mantener la persistencia en cada proyecto y cada sesión, incluso después de reiniciar el sistema. El ataque esencialmente utiliza un ataque a la cadena de suministro de software como vector de acceso inicial para lanzar una carga útil maliciosa que puede alterar los archivos de memoria del modelo con fines maliciosos (por ejemplo, enmarcar prácticas inseguras como requisitos arquitectónicos necesarios) y agrega un alias de shell a la configuración de shell del usuario.
• Se ha descubierto que el editor de código de IA Cursor es susceptible a una cadena de vulnerabilidad crítica de vida de la tierra (LotL) denominada NomShub eso hace posible que un repositorio malicioso secuestre clandestinamente la máquina de un desarrollador aprovechando una combinación de inyección indirecta, un escape de sandbox del analizador de comandos a través de componentes integrados del shell como export y cd, y el túnel remoto integrado de Cursor, otorgando al atacante acceso persistente y no detectado al shell simplemente al abrir el repositorio en el IDE.
• Una vez que se obtiene el acceso persistente, el atacante puede conectarse a la máquina sin activar nuevamente la inyección rápida ni generar alertas de seguridad. Debido a que Cursor es un binario legítimo firmado y certificado ante notario, el adversario tiene acceso ilimitado al host subyacente, obteniendo acceso completo al sistema de archivos y capacidades de ejecución de comandos.
• «Un atacante humano necesitaría encadenar múltiples exploits y mantener un acceso persistente», dijeron los investigadores de Straiker, Karpagarajan Vikkii y Amanda Rousseau. «El agente de IA hace esto de forma autónoma, siguiendo las instrucciones inyectadas como si fueran tareas de desarrollo legítimas».
• Un nuevo ataque llamado Gato de herramientas Se ha descubierto que permite a un atacante local manipular la percepción de un agente de IA sobre su entorno y corrompe la verdad fundamental de la herramienta para producir efectos posteriores no deseados, incluidos datos envenenados, inteligencia empresarial fabricada y recomendaciones falsas.
• «Donde MCP Tool Shadowing envenena las descripciones de las herramientas para influir en el comportamiento de los agentes en los servidores y ConfusedPilot contamina un grupo de recuperación de RAG, ToolJack opera como un ataque de infraestructura en tiempo real en el propio conducto de comunicación», dijo el investigador de Preámbulo Jeremy McHugh. «No espera a que el agente encuentre orgánicamente datos envenenados. Sintetiza una realidad fabricada a mitad de la ejecución, lo que demuestra que comprometer los límites del protocolo produce control sobre toda la percepción del agente».
• Se han identificado vulnerabilidades graves de inyección rápida indirecta en Microsoft Copilot Studio (también conocido como CompartirFuga o CVE-2026-21520, puntuación CVSS: 7,5) y Salesforce Agentforce (también conocido como Fuga de tubería) que podría permitir a los atacantes filtrar datos confidenciales a través de un formulario externo de SharePoint o un simple cliente potencial desde el envío de un formulario, respectivamente.
• «El ataque explota la falta de desinfección de las entradas y la separación inadecuada entre las instrucciones del sistema y los datos proporcionados por el usuario», dijo el investigador de Capsule Security, Bar Kaduri, sobre CVE-2026-21520. PipeLeak es similar a ForcedLeak en que el sistema procesa las entradas de formularios de clientes potenciales de cara al público como instrucciones confiables, lo que permite a un atacante incorporar indicaciones maliciosas que anulan el comportamiento previsto del agente.
• Se han identificado un trío de vulnerabilidades en Claude que, cuando se encadenan en un ataque con nombre en código dia de claudiapermite a un atacante secuestrar silenciosamente la sesión de chat de un usuario y extraer datos confidenciales con un solo clic. El proceso de ataque no requiere integraciones, herramientas ni servidores de protocolo de contexto modelo (MCP) adicionales.
• El ataque funciona incorporando instrucciones ocultas en una URL de Claude diseñada («claude[.]ai/new?q=…»), encapsulándolo en una redirección abierta en claude[.]com para que parezca legítimo y luego ejecutarlo como un anuncio de Google de apariencia benigna que, cuando se hace clic en él, desencadena el ataque redirigiendo silenciosamente a la víctima al «claude» creado.[.]ai/new?q=…» URL que contiene la inyección de aviso invisible.
• «Combinado con Google Ads, que valida las URL por nombre de host, esto permitió a un atacante colocar un anuncio de búsqueda que mostraba una URL confiable de claude.com que, al hacer clic, redirigía silenciosamente a la víctima a la URL de inyección. No es un correo electrónico de phishing. Un resultado de búsqueda de Google, indistinguible de lo real», dijo Oasis Security.

En una investigación publicada la semana pasada, Manifold Security también reveló cómo se puede engañar a un flujo de trabajo de GitHub Actions impulsado por Claude («claude-code-action») para que apruebe y combine una solicitud de extracción que contiene código malicioso con solo dos Comandos de configuración de Git falsificando la identidad de un desarrollador de confianza.

En esencia, el ataque implica establecer la configuración de Git. Propiedades de usuario.nombre y usuario.correo electrónico a los de un desarrollador conocido (en este caso, el investigador de IA Andrej Karpathy). Este engaño de los metadatos se convierte en un problema cuando un sistema de inteligencia artificial lo trata como una señal de confianza. Un atacante podría explotar estos metadatos no verificados para engañar al agente de IA para que ejecute acciones no deseadas.

«En la primera presentación, Claude marcó el PR para revisión manual, señalando que la reputación del autor por sí sola no era justificación suficiente», dijeron los investigadores Ax Sharma y Oleksandr Yaremchuk. «Reabrir y volver a enviar el mismo RP condujo a su aprobación. La IA anuló su propio mejor juicio al reintentar. Este no determinismo es el punto. No se puede construir un control de seguridad en un sistema que cambia de opinión».