Los investigadores de ciberseguridad han revelado un «punto ciego» de seguridad en la plataforma Vertex AI de Google Cloud que podría permitir que un atacante utilice agentes de inteligencia artificial (IA) para obtener acceso no autorizado a datos confidenciales y comprometer el entorno de nube de una organización.

Según la Unidad 42 de Palo Alto Networks, el problema se relaciona con cómo se puede hacer un mal uso del modelo de permisos de Vertex AI aprovechando la agente de servicioEl alcance excesivo del permiso de forma predeterminada.

«Un agente mal configurado o comprometido puede convertirse en un ‘agente doble’ que parece cumplir su propósito previsto, mientras extrae secretamente datos confidenciales, compromete la infraestructura y crea puertas traseras en los sistemas más críticos de una organización», dijo el investigador de la Unidad 42, Ofir Shaty. dicho en un informe compartido con The Hacker News.

Específicamente, la empresa de ciberseguridad descubrió que el agente de servicio por proyecto y por producto (P4SA) asociado con un agente de IA implementado creado con el kit de desarrollo de agentes de Vertex AI (ADK) tenía permisos excesivos otorgados de forma predeterminada. Esto abrió la puerta a un escenario en el que los permisos predeterminados de P4SA podrían usarse para extraer las credenciales de un agente de servicio y realizar acciones en su nombre.

Después de implementar el agente Vertex a través de Motor de agentecualquier llamada al agente invoca el servicio de metadatos de Google y expone las credenciales del agente de servicio, junto con el proyecto de Google Cloud Platform (GCP) que aloja al agente de IA, la identidad del agente de IA y los alcances de la máquina que aloja al agente de IA.

La Unidad 42 dijo que pudo usar las credenciales robadas para saltar del contexto de ejecución del agente de IA al proyecto del cliente, socavando efectivamente las garantías de aislamiento y permitiendo el acceso de lectura sin restricciones a todos los datos de los depósitos de Google Cloud Storage dentro de ese proyecto.

«Este nivel de acceso constituye un riesgo de seguridad significativo, transformando al agente de IA de una herramienta útil a una potencial amenaza interna», añadió.

Eso no es todo. Con el Vertex AI Agent Engine implementado ejecutándose dentro de un proyecto de inquilino administrado por Google, las credenciales extraídas también otorgaron acceso a los depósitos de Google Cloud Storage dentro del inquilino, ofreciendo más detalles sobre la infraestructura interna de la plataforma. Sin embargo, se descubrió que las credenciales carecían de los permisos necesarios para acceder a los depósitos expuestos.

Para empeorar las cosas, las mismas credenciales del agente de servicio P4SA también permitieron el acceso a repositorios restringidos de Artifact Registry propiedad de Google que se revelaron durante la implementación de Agent Engine. Un atacante podría aprovechar este comportamiento para descargar imágenes de contenedores de repositorios privados que constituyen el núcleo de Vertex AI Reasoning Engine.

Es más, las credenciales de P4SA comprometidas no solo permitieron descargar imágenes que aparecían en los registros durante la implementación de Agent Engine, sino que también expusieron el contenido de los repositorios de Artifact Registry, incluidas varias otras imágenes restringidas.

«Obtener acceso a este código propietario no sólo expone la propiedad intelectual de Google, sino que también proporciona al atacante un modelo para encontrar más vulnerabilidades», explicó la Unidad 42.

«El Artifact Registry mal configurado resalta una falla adicional en la gestión del control de acceso para la infraestructura crítica. Un atacante podría potencialmente aprovechar esta visibilidad no intencionada para mapear la cadena de suministro de software interna de Google, identificar imágenes obsoletas o vulnerables y planificar futuros ataques».

Google desde entonces actualizó su documentación oficial para explicar claramente cómo Vertex AI utiliza los recursos, las cuentas y los agentes. El gigante tecnológico también recomendó que los clientes utilicen Traiga su propia cuenta de servicio (BYOSA) para reemplazar al agente de servicio predeterminado y hacer cumplir el principio de privilegio mínimo (PoLP) para garantizar que el agente tenga solo los permisos que necesita para realizar la tarea en cuestión.

«Otorgar a los agentes permisos amplios de forma predeterminada viola el principio de privilegio mínimo y es una falla de seguridad peligrosa por diseño», dijo Shaty. «Las organizaciones deben tratar la implementación de agentes de IA con el mismo rigor que el nuevo código de producción. Validar los límites de permisos, restringir los alcances de OAuth al mínimo privilegio, revisar la integridad de la fuente y realizar pruebas de seguridad controladas antes del lanzamiento de la producción».

Una vulnerabilidad previamente desconocida en OpenAI ChatGPT permitió que se filtraran datos confidenciales de conversaciones sin el conocimiento o consentimiento del usuario, según nuevos hallazgos de Check Point.

«Un solo aviso malicioso podría convertir una conversación ordinaria en un canal de exfiltración encubierto, filtrando mensajes de usuarios, archivos cargados y otro contenido sensible», dijo la empresa de ciberseguridad. dicho en un informe publicado hoy. «Un GPT con puerta trasera podría abusar de la misma debilidad para obtener acceso a los datos del usuario sin el conocimiento o el consentimiento del usuario».

Tras una divulgación responsable, OpenAI abordó el problema el 20 de febrero de 2026. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto malicioso.

Si bien ChatGPT está construido con varias barreras de seguridad para evitar el intercambio o generación de datos no autorizados. solicitudes de red salientes directasla vulnerabilidad recientemente descubierta elude por completo estas salvaguardas al explotar un canal lateral que se origina en el tiempo de ejecución de Linux utilizado por el agente de inteligencia artificial (IA) para la ejecución de código y el análisis de datos.

Específicamente, abusa de una ruta de comunicación oculta basada en DNS como un «mecanismo de transporte encubierto» al codificar información en solicitudes de DNS para sortear las barreras de seguridad visibles de la IA. Es más, la misma ruta de comunicación oculta podría usarse para establecer un acceso remoto al shell dentro del tiempo de ejecución de Linux y lograr la ejecución de comandos.

En ausencia de cualquier advertencia o diálogo de aprobación del usuario, la vulnerabilidad crea un punto ciego de seguridad, y el sistema de inteligencia artificial supone que el entorno estaba aislado.

Como ejemplo ilustrativo, un atacante podría convencer a un usuario de que pegue un mensaje malicioso haciéndolo pasar como una forma de desbloquear capacidades premium de forma gratuita o mejorar el rendimiento de ChatGPT. La amenaza se magnifica cuando la técnica está integrada dentro de GPT personalizados, ya que la lógica maliciosa podría incorporarse en lugar de engañar al usuario para que pegue un mensaje especialmente diseñado.

«Lo más importante es que, debido a que el modelo operaba bajo el supuesto de que este entorno no podía enviar datos directamente, no reconocía ese comportamiento como una transferencia de datos externa que requería resistencia o mediación del usuario», explicó Check Point. «Como resultado, la filtración no generó advertencias sobre los datos que salían de la conversación, no requirió confirmación explícita del usuario y permaneció en gran medida invisible desde la perspectiva del usuario».

Con herramientas como ChatGPT cada vez más integradas en entornos empresariales y usuarios cargando información muy personal, vulnerabilidades como estas subrayan la necesidad de que las organizaciones implementen su propia capa de seguridad para contrarrestar las inyecciones rápidas y otros comportamientos inesperados en los sistemas de IA.

«Esta investigación refuerza una dura verdad para la era de la IA: no asuma que las herramientas de IA son seguras por defecto», dijo Eli Smadja, jefe de investigación de Check Point Research, en un comunicado compartido con The Hacker News.

«A medida que las plataformas de IA evolucionan hacia entornos informáticos completos que manejan nuestros datos más confidenciales, los controles de seguridad nativos ya no son suficientes por sí solos. Las organizaciones necesitan visibilidad independiente y protección en capas entre ellas y los proveedores de IA. Así es como avanzamos de manera segura: repensando la arquitectura de seguridad para la IA, sin reaccionar al siguiente incidente».

El desarrollo se produce cuando se ha observado que los actores de amenazas publican extensiones de navegador web (o actualizan las existentes) que participan en la dudosa práctica de caza furtiva rápida para desviar silenciosamente conversaciones de chatbot de IA sin el consentimiento del usuario, destacando cómo complementos aparentemente inofensivos podrían convertirse en un canal para la filtración de datos.

«Casi no hace falta decir que estos complementos abren las puertas a varios riesgos, incluido el robo de identidad, campañas de phishing dirigidas y la venta de datos confidenciales en foros clandestinos», dijo el investigador de Expel, Ben Nahorney. dicho. «En el caso de organizaciones donde los empleados pueden haber instalado estas extensiones sin saberlo, es posible que hayan expuesto propiedad intelectual, datos de clientes u otra información confidencial».

La vulnerabilidad de inyección de comandos en OpenAI Codex lleva a un compromiso del token de GitHub

Los hallazgos también coinciden con el descubrimiento de una vulnerabilidad crítica de inyección de comandos en OpenAI. Códiceun agente de ingeniería de software basado en la nube, que podría haber sido aprovechado para robar datos de credenciales de GitHub y, en última instancia, comprometer a varios usuarios que interactúan con un repositorio compartido.

«La vulnerabilidad existe dentro de la solicitud HTTP de creación de tareas, que permite a un atacante contrabandear comandos arbitrarios a través del parámetro de nombre de rama de GitHub», dijo el investigador de BeyondTrust Phantom Labs, Tyler Jespersen. dicho en un informe compartido con The Hacker News. «Esto puede resultar en el robo del token de acceso de usuario de GitHub de la víctima, el mismo token que Codex usa para autenticarse con GitHub».

El problema, según BeyondTrust, se debe a una limpieza inadecuada de la entrada al procesar nombres de ramas de GitHub durante la ejecución de tareas en la nube. Debido a esta insuficiencia, un atacante podría inyectar comandos arbitrarios a través del parámetro de nombre de rama en una solicitud HTTPS POST a la API del Codex backend, ejecutar cargas útiles maliciosas dentro del contenedor del agente y recuperar tokens de autenticación confidenciales.

«Esto otorgó movimiento lateral y acceso de lectura/escritura a todo el código base de la víctima», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust. dicho en una publicación en X. OpenAI lo parchó a partir del 5 de febrero de 2026, después de que se informara el 16 de diciembre de 2025. La vulnerabilidad afecta al sitio web ChatGPT, Codex CLI, Codex SDK y la extensión Codex IDE.

El proveedor de ciberseguridad dijo que la técnica de inyección de comandos de rama también podría extenderse para robar tokens de acceso de instalación de GitHub y ejecutar comandos bash en el contenedor de revisión de código cada vez que se haga referencia a @codex en GitHub.

«Con la rama maliciosa configurada, hicimos referencia a Codex en un comentario sobre una solicitud de extracción (PR)», explicó. «Codex luego inició un contenedor de revisión de código y creó una tarea en nuestro repositorio y sucursal, ejecutando nuestra carga útil y reenviando la respuesta a nuestro servidor externo».

La investigación también destaca un riesgo creciente de que el acceso privilegiado otorgado a los agentes de codificación de IA pueda usarse como arma para proporcionar una «ruta de ataque escalable» a los sistemas empresariales sin activar los controles de seguridad tradicionales.

«A medida que los agentes de IA se integran más profundamente en los flujos de trabajo de los desarrolladores, la seguridad de los contenedores en los que se ejecutan (y la entrada que consumen) debe tratarse con el mismo rigor que cualquier otro límite de seguridad de la aplicación», dijo BeyondTrust. «La superficie de ataque se está expandiendo y la seguridad de estos entornos debe seguir el ritmo».

Apple lanzó el martes su primera ronda de Mejoras de seguridad en segundo plano para abordar una falla de seguridad en WebKit que afecta a iOS, iPadOS y macOS.

La vulnerabilidad, rastreada como CVE-2026-20643 (Puntuación CVSS: N/A), se ha descrito como un problema de origen cruzado en la API de navegación de WebKit que podría aprovecharse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.

La falla afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Se solucionó con una validación de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el mérito de descubrir e informar la deficiencia.

Manzana notas que las mejoras de seguridad en segundo plano están destinadas a ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de marco WebKit y otras bibliotecas del sistema a través de parches de seguridad más pequeños y continuos en lugar de publicarlos como parte de actualizaciones de software más grandes.

La función es compatible y está habilitada para versiones futuras a partir de iOS 26.1, iPadOS 26.1 y macOS 26. En los casos en que se descubran problemas de compatibilidad, las mejoras pueden eliminarse temporalmente y luego mejorarse en una actualización de software posterior, agrega Apple.

Los usuarios pueden controlar las mejoras de seguridad en segundo plano a través del menú Privacidad y seguridad en la aplicación Configuración. Para garantizar que se instalen automáticamente, se recomienda mantener activada la opción «Instalar automáticamente».

Vale la pena señalar que si los usuarios optan por desactivar esta configuración, tendrán que esperar hasta que las mejoras se incluyan en la próxima actualización de software. Visto desde esa perspectiva, la función es análoga a Rapid Security Response, que introducido en iOS 16 como una forma de instalar actualizaciones de seguridad menores.

«Si se aplicó una mejora de seguridad en segundo plano y elige eliminarla, su dispositivo vuelve a la actualización de software básica (por ejemplo, iOS 26.3) sin aplicar mejoras de seguridad en segundo plano», señaló Apple en un documento de ayuda.

El desarrollo se produce poco más de un mes después de que Apple publicara correcciones para un día cero explotado activamente que afecta a iOS, iPadOS, macOS Tahoe, tvOS, watchOS y visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y que podría provocar la ejecución de código arbitrario.

La semana pasada, el fabricante de iPhone también amplió los parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruña.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de gravedad media que afecta a Wing FTP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, CVE-2025-47813 (Puntuación CVSS: 4,3), es una vulnerabilidad de divulgación de información que filtra la ruta de instalación de la aplicación bajo ciertas condiciones.

«Wing FTP Server contiene una generación de mensajes de error que contienen vulnerabilidades de información confidencial cuando se utiliza un valor largo en la cookie UID», dijo CISA.

La deficiencia afecta a todas las versiones del software anteriores a la versión 7.4.3 incluida. El problema se solucionó en la versión 7.4.4, enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.

Vale la pena señalar que la versión 7.4.4 también parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, la vulnerabilidad se encuentra bajo explotación activa en la naturaleza.

Según los detalles compartidos por Huntress en ese momento, los atacantes lo aprovecharon para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de administración y monitoreo remoto.

Ahrens, en un exploit de prueba de concepto (PoC), compartido en GitHub, señaló que el punto final en «/loginok.html» no valida adecuadamente el valor de la cookie de sesión «UID». Como resultado, si el valor proporcionado es más largo que el tamaño de ruta máximo del sistema operativo subyacente, genera un mensaje de error que revela la ruta completa del servidor local.

«Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor local de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812», el investigador agregado.

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza y si se abusa de ella junto con CVE-2025-47812. A la luz de los últimos acontecimientos, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 30 de marzo de 2026.

Investigadores de ciberseguridad han revelado detalles de una falla de seguridad ahora parcheada en Google Chrome que podría haber permitido a los atacantes escalar privilegios y obtener acceso a archivos locales en el sistema.

La vulnerabilidad, rastreada como CVE-2026-0628 (puntuación CVSS: 8,8), se ha descrito como un caso de aplicación insuficiente de políticas en la etiqueta WebView. Fue parcheado por Google a principios de enero de 2026 en la versión 143.0.7499.192/.193 para Windows/Mac y 143.0.7499.192 para Linux.

«La aplicación insuficiente de políticas en la etiqueta WebView en Google Chrome antes de 143.0.7499.192 permitió que un atacante convenciera a un usuario de instalar una extensión maliciosa para inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome diseñada», según una descripción en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Gal Weizman, investigador de la Unidad 42 de Palo Alto Networks, quien descubrió e informó la falla el 23 de noviembre de 2025, dicho el problema podría haber permitido que extensiones maliciosas con permisos básicos tomaran el control del nuevo Panel Géminis en vivo en Chrome. El panel se puede iniciar haciendo clic en el icono de Gemini ubicado en la parte superior de la ventana del navegador. Google integración agregada de Géminis a Chrome en septiembre de 2025.

Un atacante podría haber abusado de este ataque para lograr una escalada de privilegios, permitiéndole acceder a la cámara y al micrófono de la víctima sin su permiso, tomar capturas de pantalla de cualquier sitio web y acceder a archivos locales.

Los hallazgos resaltan un vector de ataque emergente que surge al integrar inteligencia artificial (IA) y capacidades de agente directamente en los navegadores web para facilitar el resumen de contenido en tiempo real, la traducción y la ejecución automatizada de tareas, ya que se podría abusar de las mismas capacidades para realizar acciones privilegiadas.

El problema, en esencia, es la necesidad de otorgar a estos agentes de IA acceso privilegiado al entorno de navegación para realizar operaciones de varios pasos, convirtiéndose así en un arma de doble filo cuando un atacante inserta indicaciones ocultas en una página web maliciosa y se engaña a un usuario víctima para que acceda a ella mediante ingeniería social o algún otro medio.

El mensaje podría indicar al asistente de IA que realice acciones que de otro modo serían bloqueadas por el navegador, lo que provocaría la filtración de datos o la ejecución de código. Peor aún, la página web podría manipular al agente para almacenar las instrucciones en la memorialo que hace que persista entre sesiones.

Además de la superficie de ataque ampliada, Unit 42 dijo que la integración de un panel lateral de IA en navegadores agentes trae de vuelta los riesgos de seguridad clásicos de los navegadores.

«Al colocar este nuevo componente dentro del contexto de alto privilegio del navegador, los desarrolladores podrían crear inadvertidamente nuevos fallos lógicos y debilidades de implementación», dijo Weizman. «Esto podría incluir vulnerabilidades relacionadas con secuencias de comandos entre sitios (XSS), escalada de privilegios y ataques de canal lateral que pueden ser explotados por sitios web o extensiones de navegador con menos privilegios».

Si bien las extensiones del navegador funcionan según un conjunto definido de permisos, la explotación exitosa de CVE-2026-0628 socava el modelo de seguridad del navegador y permite a un atacante ejecutar código arbitrario en «gemini.google».[.]com/app» a través del panel del navegador y obtenga acceso a datos confidenciales.

«Una extensión con acceso a un permiso básico establecido a través del API declarativaNetRequest «Permisos permitidos que podrían haber permitido a un atacante inyectar código JavaScript en el nuevo panel de Gemini», agregó Weizman. «Cuando la aplicación Gemini se carga dentro de este nuevo componente del panel, Chrome la conecta con acceso a potentes capacidades».

Vale la pena señalar que la API declarativeNetRequest permite que las extensiones intercepten y cambien las propiedades de las solicitudes y respuestas web HTTPS. Lo utilizan las extensiones de bloqueo de anuncios para dejar de emitir solicitudes para cargar anuncios en páginas web.

En otras palabras, todo lo que necesita un atacante es engañar a un usuario desprevenido para que instale una extensión especialmente diseñada, que luego podría inyectar código JavaScript arbitrario en el panel lateral de Gemini para interactuar con el sistema de archivos, tomar capturas de pantalla, acceder a la cámara, encender el micrófono: todas las funciones necesarias para que el asistente de IA realice sus tareas.

«Esta diferencia en el tipo de componente que carga la aplicación Gemini es la línea entre el comportamiento por diseño y una falla de seguridad», dijo la Unidad 42. Se espera una extensión que influya en un sitio web. Sin embargo, una extensión que influye en un componente integrado en el navegador supone un grave riesgo de seguridad».