{"id":611,"date":"2026-04-20T22:04:02","date_gmt":"2026-04-20T22:04:02","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/la-vulnerabilidad-en-el-administrador-de-agentes-antigravity-ai-de-google-podria-escapar-de-la-zona-de-pruebas-y-permitir-a-los-atacantes-la-ejecucion-remota-de-codigo\/"},"modified":"2026-04-20T22:04:02","modified_gmt":"2026-04-20T22:04:02","slug":"la-vulnerabilidad-en-el-administrador-de-agentes-antigravity-ai-de-google-podria-escapar-de-la-zona-de-pruebas-y-permitir-a-los-atacantes-la-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/la-vulnerabilidad-en-el-administrador-de-agentes-antigravity-ai-de-google-podria-escapar-de-la-zona-de-pruebas-y-permitir-a-los-atacantes-la-ejecucion-remota-de-codigo\/","title":{"rendered":"La vulnerabilidad en el administrador de agentes Antigravity AI de Google podr\u00eda escapar de la zona de pruebas y permitir a los atacantes la ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"
\n

A medida que las organizaciones consideran la IA agente para sus negocios y sus pilas de TI, los investigadores contin\u00faan encontrando errores y vulnerabilidades en los principales modelos comerciales que pueden expandir significativamente su superficie de ataque.<\/p>\n

Esta semana, investigadores de Pillar Security revelado<\/a> una vulnerabilidad en Antigravity, una herramienta de desarrollo impulsada por IA para operaciones de sistemas de archivos creada por Google.<\/p>\n

El error, parcheado desde entonces, combinaba la inyecci\u00f3n r\u00e1pida con la capacidad permitida de creaci\u00f3n de archivos de Antigravity para otorgar a los atacantes privilegios de ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n

La investigaci\u00f3n detalla c\u00f3mo el exploit pudo eludir el modo seguro de Antigravity, la configuraci\u00f3n de seguridad m\u00e1s alta de Google para sus agentes que ejecuta todas las operaciones de comando a trav\u00e9s de un entorno de pruebas virtual, acelera el acceso a la red y proh\u00edbe al agente escribir c\u00f3digo fuera del directorio de trabajo.<\/p>\n

Se supone que el modo seguro limita el acceso del agente de IA a sistemas sensibles y su capacidad para ejecutar actos maliciosos o peligrosos a trav\u00e9s de comandos de shell. Pero una de las herramientas de b\u00fasqueda de archivos utilizadas por Antigravity, llamada \u00abfind_by_name\u00bb, est\u00e1 clasificada como una herramienta del sistema \u00abnativa\u00bb. Esto significa que el agente puede ejecutarlo directamente y antes de que protecciones como el Modo seguro puedan incluso evaluar las operaciones a nivel de comando.<\/p>\n

\u00abEl l\u00edmite de seguridad que impone el Modo Seguro simplemente nunca ve esta llamada\u00bb, escribi\u00f3 Dan Lisichkin, investigador de seguridad de IA de Pillar Security. \u00abEsto significa que un atacante logra la ejecuci\u00f3n de c\u00f3digo arbitrario bajo la configuraci\u00f3n exacta en la que confiar\u00eda un usuario preocupado por la seguridad para evitarlo\u00bb.<\/p>\n

Los ataques de inyecci\u00f3n r\u00e1pida se pueden realizar a trav\u00e9s de cuentas de identidad comprometidas conectadas al agente, o indirectamente ocultando instrucciones clandestinas dentro de archivos de c\u00f3digo abierto o contenido web que el agente ingiere. Antigravity tiene problemas para distinguir entre los datos escritos que ingiere para el contexto y las instrucciones literales, por lo que se puede lograr un compromiso sin ning\u00fan acceso elevado al hacer que lea un documento o archivo malicioso.<\/p>\n

Seg\u00fan un cronograma de divulgaci\u00f3n proporcionado por Pillar Security, el error se inform\u00f3 a Google el 6 de enero y se corrigi\u00f3 el 28 de febrero, y Google otorg\u00f3 una recompensa por el descubrimiento.<\/p>\n

Lisichkin dijo que este mismo patr\u00f3n de inyecci\u00f3n r\u00e1pida a trav\u00e9s de entradas no validadas se ha encontrado en otros agentes de codificaci\u00f3n de IA como Cursor. En la era de la IA, cualquier entrada no validada puede convertirse en un mensaje malicioso capaz de secuestrar sistemas internos.<\/p>\n

\u00abEl modelo de confianza que sustenta los supuestos de seguridad, de que un humano detectar\u00e1 algo sospechoso, no se sostiene cuando agentes aut\u00f3nomos siguen instrucciones de contenido externo\u00bb, escribi\u00f3.<\/p>\n

El hecho de que la vulnerabilidad haya podido eludir por completo el modo seguro de Google subraya c\u00f3mo la industria de la ciberseguridad debe comenzar a adaptarse y \u00abir m\u00e1s all\u00e1 de los controles basados \u200b\u200ben la desinfecci\u00f3n\u00bb. <\/p>\n

\u00abCada par\u00e1metro de herramienta nativa que llega a un comando de shell es un punto de inyecci\u00f3n potencial. La auditor\u00eda de esta clase de vulnerabilidad ya no es opcional y es un requisito previo para enviar funciones agentes de forma segura\u00bb, escribi\u00f3 Lisichkin.<\/p>\n