{"id":620,"date":"2026-04-21T17:59:21","date_gmt":"2026-04-21T17:59:21","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/21\/google-parchea-un-fallo-del-ide-antigravedad-que-permite-la-rapida-ejecucion-del-codigo-de-inyeccion-cyberdefensa-mx\/"},"modified":"2026-04-21T17:59:21","modified_gmt":"2026-04-21T17:59:21","slug":"google-parchea-un-fallo-del-ide-antigravedad-que-permite-la-rapida-ejecucion-del-codigo-de-inyeccion-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/21\/google-parchea-un-fallo-del-ide-antigravedad-que-permite-la-rapida-ejecucion-del-codigo-de-inyeccion-cyberdefensa-mx\/","title":{"rendered":"Google parchea un fallo del IDE antigravedad que permite la r\u00e1pida ejecuci\u00f3n del c\u00f3digo de inyecci\u00f3n \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han descubierto una vulnerabilidad en el entorno de desarrollo integrado (IDE) agente de Google, Antigravity, que podr\u00eda explotarse para lograr la ejecuci\u00f3n de c\u00f3digo.<\/p>\n<p>La falla, ya parcheada, combina las capacidades permitidas de creaci\u00f3n de archivos de Antigravity con una desinfecci\u00f3n de entrada insuficiente en la herramienta de b\u00fasqueda de archivos nativa de Antigravity, find_by_name, para evitar las fallas del programa. <a href=\"https:\/\/antigravity.google\/docs\/strict-mode\">Modo estricto<\/a>una configuraci\u00f3n de seguridad restrictiva que limita el acceso a la red, evita escrituras fuera del espacio de trabajo y garantiza que todos los comandos se ejecuten dentro de un <a href=\"https:\/\/antigravity.google\/docs\/sandbox-mode\">contexto de la zona de pruebas<\/a>.<\/p>\n<p>\u00abAl inyectar el indicador -X (exec-batch) a trav\u00e9s del par\u00e1metro Patr\u00f3n [in the find_by_name tool]un atacante puede obligar a fd a ejecutar binarios arbitrarios en archivos del espacio de trabajo\u00bb, dijo Dan Lisichkin, investigador de Pillar Security. <a href=\"https:\/\/www.pillar.security\/blog\/prompt-injection-leads-to-rce-and-sandbox-escape-in-antigravity\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<p>\u00abCombinado con la capacidad de Antigravity para crear archivos como una acci\u00f3n permitida, esto permite una cadena de ataque completa: preparar un script malicioso y luego activarlo a trav\u00e9s de una b\u00fasqueda aparentemente leg\u00edtima, todo sin interacci\u00f3n adicional del usuario una vez que llega la inyecci\u00f3n\u00bb.<\/p>\n<p>El ataque aprovecha el hecho de que la llamada a la herramienta find_by_name se ejecuta antes de que se aplique cualquiera de las restricciones asociadas con el modo estricto y, en cambio, se interpreta como una invocaci\u00f3n de herramienta nativa, lo que lleva a la ejecuci\u00f3n de c\u00f3digo arbitrario. Si bien el par\u00e1metro Pattern est\u00e1 dise\u00f1ado para aceptar un patr\u00f3n de b\u00fasqueda de nombre de archivo para activar una b\u00fasqueda de archivos y directorios usando fd hasta find_by_name, se ve socavado por una falta de validaci\u00f3n estricta, pasando la entrada directamente al comando fd subyacente.<\/p>\n<p>Por lo tanto, un atacante podr\u00eda aprovechar este comportamiento para preparar un archivo malicioso e inyectar comandos maliciosos en el par\u00e1metro Pattern para desencadenar la ejecuci\u00f3n de la carga \u00fatil.<\/p>\n<p>\u00abEl indicador cr\u00edtico aqu\u00ed es -X (exec-batch). Cuando se pasa a fd, este indicador ejecuta un binario espec\u00edfico en cada archivo coincidente\u00bb, explic\u00f3 Pillar. \u00abAl crear un valor de patr\u00f3n de -Xsh, un atacante hace que fd pase archivos coincidentes a sh para su ejecuci\u00f3n como scripts de shell\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-security-guide-d-1\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjRxP56rpa2W0O_0yc0xgs5l2r4FRV4Wiuq3IqWuFdsd_4g1c3oRVXoHtW9gxo8ObuxmyjqkAf3cD6N1JbVDos7QX99ZHtmeVrg-FUzSnMZLTl1ZFyiSkpqQiw6BcHXz52jr3s42xWEDFOpwWK6HgXOqscGMNkhA5pZK7h6zVV4dpDaLfgy17TidZXVrtUB\/s728-e100\/nudge-d-1.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Alternativamente, el ataque se puede iniciar mediante una inyecci\u00f3n indirecta sin tener que comprometer la cuenta de un usuario. En este enfoque, un usuario desprevenido extrae un archivo aparentemente inofensivo de una fuente no confiable que contiene comentarios ocultos controlados por el atacante que instruyen al agente de inteligencia artificial (IA) a preparar y activar el exploit.<\/p>\n<p>Tras la divulgaci\u00f3n responsable el 7 de enero de 2026, Google abord\u00f3 la deficiencia a partir del 28 de febrero.<\/p>\n<p>\u00abLas herramientas dise\u00f1adas para operaciones restringidas se convierten en vectores de ataque cuando sus entradas no est\u00e1n estrictamente validadas\u00bb, dijo Lisichkin. \u00abEl modelo de confianza que sustenta las suposiciones de seguridad, de que un humano detectar\u00e1 algo sospechoso, no se sostiene cuando agentes aut\u00f3nomos siguen instrucciones de contenido externo\u00bb.<\/p>\n<p>Los hallazgos coinciden con el descubrimiento de una serie de fallas de seguridad ahora parcheadas en varias herramientas impulsadas por IA:<\/p>\n<ul>\n<li>Se ha descubierto que Anthropic Claude Code Security Review, Google Gemini CLI Action y GitHub Copilot Agent son vulnerables a la inyecci\u00f3n r\u00e1pida a trav\u00e9s de comentarios de GitHub, lo que permite a un atacante convertir t\u00edtulos de solicitudes de extracci\u00f3n (PR), cuerpos de problemas y comentarios de problemas en vectores de ataque para el robo de claves API y tokens. El ataque de inyecci\u00f3n r\u00e1pida ha recibido el nombre en clave <a href=\"https:\/\/oddguan.com\/blog\/comment-and-control-prompt-injection-credential-theft-claude-code-gemini-cli-github-copilot\/\">Comentar y controlar<\/a>ya que convierte en arma el ataque de un agente de IA. <a href=\"https:\/\/www.manifold.security\/blog\/gateway-gap-ai-agent-security\">acceso elevado<\/a> y su capacidad para procesar entradas de usuarios que no son de confianza para ejecutar instrucciones maliciosas. <\/li>\n<li>\u00abEl patr\u00f3n probablemente se aplica a cualquier agente de IA que ingiere datos de GitHub que no son de confianza y tiene acceso a herramientas de ejecuci\u00f3n en el mismo tiempo de ejecuci\u00f3n que los secretos de producci\u00f3n, y m\u00e1s all\u00e1 de GitHub Actions, a cualquier agente que procesa entradas que no son de confianza con acceso a herramientas y secretos: bots de Slack, agentes de Jira, agentes de correo electr\u00f3nico, automatizaci\u00f3n de implementaci\u00f3n\u00bb, dijo el investigador de seguridad Aonan Guan. \u00abLa superficie de inyecci\u00f3n cambia, pero el patr\u00f3n es el mismo\u00bb.<\/li>\n<li>Otra vulnerabilidad en Claude Code, <a href=\"https:\/\/blogs.cisco.com\/ai\/identifying-and-remediating-a-persistent-memory-compromise-in-claude-code\">descubierto por cisco<\/a>es capaz de envenenar la memoria del agente de codificaci\u00f3n y mantener la persistencia en cada proyecto y cada sesi\u00f3n, incluso despu\u00e9s de reiniciar el sistema. El ataque esencialmente utiliza un <a href=\"https:\/\/about.gitlab.com\/blog\/gitlab-discovers-widespread-npm-supply-chain-attack\/\">ataque a la cadena de suministro de software<\/a> como vector de acceso inicial para lanzar una carga \u00fatil maliciosa que puede alterar los archivos de memoria del modelo con fines maliciosos (por ejemplo, enmarcar pr\u00e1cticas inseguras como requisitos arquitect\u00f3nicos necesarios) y agrega un alias de shell a la configuraci\u00f3n de shell del usuario.<\/li>\n<li>Se ha descubierto que el editor de c\u00f3digo de IA Cursor es susceptible a una cadena de vulnerabilidad cr\u00edtica de vida de la tierra (LotL) denominada <a href=\"https:\/\/www.straiker.ai\/blog\/nomshub-cursor-remote-tunneling-sandbox-breakout\">NomShub<\/a> eso hace posible que un repositorio malicioso secuestre clandestinamente la m\u00e1quina de un desarrollador aprovechando una combinaci\u00f3n de inyecci\u00f3n indirecta, un escape de sandbox del analizador de comandos a trav\u00e9s de componentes integrados del shell como export y cd, y el t\u00fanel remoto integrado de Cursor, otorgando al atacante acceso persistente y no detectado al shell simplemente al abrir el repositorio en el IDE.<\/li>\n<li>Una vez que se obtiene el acceso persistente, el atacante puede conectarse a la m\u00e1quina sin activar nuevamente la inyecci\u00f3n r\u00e1pida ni generar alertas de seguridad. Debido a que Cursor es un binario leg\u00edtimo firmado y certificado ante notario, el adversario tiene acceso ilimitado al host subyacente, obteniendo acceso completo al sistema de archivos y capacidades de ejecuci\u00f3n de comandos.<\/li>\n<li>\u00abUn atacante humano necesitar\u00eda encadenar m\u00faltiples exploits y mantener un acceso persistente\u00bb, dijeron los investigadores de Straiker, Karpagarajan Vikkii y Amanda Rousseau. \u00abEl agente de IA hace esto de forma aut\u00f3noma, siguiendo las instrucciones inyectadas como si fueran tareas de desarrollo leg\u00edtimas\u00bb.<\/li>\n<li>Un nuevo ataque llamado <a href=\"https:\/\/www.preamble.com\/blogs\/tooljack-hijacking-an-ai-agents-perception-through-bridge-protocol-exploitation\">Gato de herramientas<\/a> Se ha descubierto que permite a un atacante local manipular la percepci\u00f3n de un agente de IA sobre su entorno y corrompe la verdad fundamental de la herramienta para producir efectos posteriores no deseados, incluidos datos envenenados, inteligencia empresarial fabricada y recomendaciones falsas.<\/li>\n<li>\u00abDonde MCP Tool Shadowing envenena las descripciones de las herramientas para influir en el comportamiento de los agentes en los servidores y ConfusedPilot contamina un grupo de recuperaci\u00f3n de RAG, ToolJack opera como un ataque de infraestructura en tiempo real en el propio conducto de comunicaci\u00f3n\u00bb, dijo el investigador de Pre\u00e1mbulo Jeremy McHugh. \u00abNo espera a que el agente encuentre org\u00e1nicamente datos envenenados. Sintetiza una realidad fabricada a mitad de la ejecuci\u00f3n, lo que demuestra que comprometer los l\u00edmites del protocolo produce control sobre toda la percepci\u00f3n del agente\u00bb.<\/li>\n<li>Se han identificado vulnerabilidades graves de inyecci\u00f3n r\u00e1pida indirecta en Microsoft Copilot Studio (tambi\u00e9n conocido como <a href=\"https:\/\/www.capsulesecurity.io\/blog-post\/shareleak-taking-the-wheel-of-microsofts-copilot-studio-cve-2026-21520\">CompartirFuga<\/a> o CVE-2026-21520, puntuaci\u00f3n CVSS: 7,5) y Salesforce Agentforce (tambi\u00e9n conocido como <a href=\"https:\/\/www.capsulesecurity.io\/blog-post\/pipeleak-the-lead-that-stole-your-database-exploiting-salesforce-agentforce-with-indirect-prompt-injection\">Fuga de tuber\u00eda<\/a>) que podr\u00eda permitir a los atacantes filtrar datos confidenciales a trav\u00e9s de un formulario externo de SharePoint o un simple cliente potencial desde el env\u00edo de un formulario, respectivamente.<\/li>\n<li>\u00abEl ataque explota la falta de desinfecci\u00f3n de las entradas y la separaci\u00f3n inadecuada entre las instrucciones del sistema y los datos proporcionados por el usuario\u00bb, dijo el investigador de Capsule Security, Bar Kaduri, sobre CVE-2026-21520. PipeLeak es similar a ForcedLeak en que el sistema procesa las entradas de formularios de clientes potenciales de cara al p\u00fablico como instrucciones confiables, lo que permite a un atacante incorporar indicaciones maliciosas que anulan el comportamiento previsto del agente.<\/li>\n<li>Se han identificado un tr\u00edo de vulnerabilidades en Claude que, cuando se encadenan en un ataque con nombre en c\u00f3digo <a href=\"https:\/\/www.oasis.security\/blog\/claude-ai-prompt-injection-data-exfiltration-vulnerability\">dia de claudia<\/a>permite a un atacante secuestrar silenciosamente la sesi\u00f3n de chat de un usuario y extraer datos confidenciales con un solo clic. El proceso de ataque no requiere integraciones, herramientas ni servidores de protocolo de contexto modelo (MCP) adicionales.<\/li>\n<li>El ataque funciona incorporando instrucciones ocultas en una URL de Claude dise\u00f1ada (\u00abclaude[.]ai\/new?q=\u2026\u00bb), encapsul\u00e1ndolo en una redirecci\u00f3n abierta en claude[.]com para que parezca leg\u00edtimo y luego ejecutarlo como un anuncio de Google de apariencia benigna que, cuando se hace clic en \u00e9l, desencadena el ataque redirigiendo silenciosamente a la v\u00edctima al \u00abclaude\u00bb creado.[.]ai\/new?q=\u2026\u00bb URL que contiene la inyecci\u00f3n de aviso invisible.<\/li>\n<li>\u00abCombinado con Google Ads, que valida las URL por nombre de host, esto permiti\u00f3 a un atacante colocar un anuncio de b\u00fasqueda que mostraba una URL confiable de claude.com que, al hacer clic, redirig\u00eda silenciosamente a la v\u00edctima a la URL de inyecci\u00f3n. No es un correo electr\u00f3nico de phishing. Un resultado de b\u00fasqueda de Google, indistinguible de lo real\u00bb, dijo Oasis Security.<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>En una investigaci\u00f3n publicada la semana pasada, Manifold Security tambi\u00e9n <a href=\"https:\/\/www.manifold.security\/blog\/spoofed-git-identity-ai-code-reviewer\">revel\u00f3<\/a> c\u00f3mo se puede enga\u00f1ar a un flujo de trabajo de GitHub Actions impulsado por Claude (\u00abclaude-code-action\u00bb) para que apruebe y combine una solicitud de extracci\u00f3n que contiene c\u00f3digo malicioso con solo dos <a href=\"https:\/\/git-scm.com\/book\/en\/v2\/Customizing-Git-Git-Configuration\">Comandos de configuraci\u00f3n de Git<\/a> falsificando la identidad de un desarrollador de confianza.<\/p>\n<p>En esencia, el ataque implica establecer la configuraci\u00f3n de Git. <a href=\"https:\/\/git-scm.com\/docs\/git-config\">Propiedades de usuario.nombre y usuario.correo electr\u00f3nico<\/a> a los de un desarrollador conocido (en este caso, el investigador de IA Andrej Karpathy). Este enga\u00f1o de los metadatos se convierte en un problema cuando un sistema de inteligencia artificial lo trata como una se\u00f1al de confianza. Un atacante podr\u00eda explotar estos metadatos no verificados para enga\u00f1ar al agente de IA para que ejecute acciones no deseadas.<\/p>\n<p>\u00abEn la primera presentaci\u00f3n, Claude marc\u00f3 el PR para revisi\u00f3n manual, se\u00f1alando que la reputaci\u00f3n del autor por s\u00ed sola no era justificaci\u00f3n suficiente\u00bb, dijeron los investigadores Ax Sharma y Oleksandr Yaremchuk. \u00abReabrir y volver a enviar el mismo RP condujo a su aprobaci\u00f3n. La IA anul\u00f3 su propio mejor juicio al reintentar. Este no determinismo es el punto. No se puede construir un control de seguridad en un sistema que cambia de opini\u00f3n\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han descubierto una vulnerabilidad en el entorno de desarrollo integrado (IDE) agente de Google, Antigravity, que podr\u00eda explotarse para lograr la ejecuci\u00f3n de c\u00f3digo. La falla, ya parcheada, combina las capacidades permitidas de creaci\u00f3n de archivos de Antigravity con una desinfecci\u00f3n de entrada insuficiente en la herramienta de b\u00fasqueda de archivos nativa [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":585,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1973,376,24,70,766,990,256,1724,626,846,265,887],"class_list":["post-620","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-antigravedad","tag-codigo","tag-cyberdefensa-mx","tag-del","tag-ejecucion","tag-fallo","tag-google","tag-ide","tag-inyeccion","tag-parchea","tag-permite","tag-rapida"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/620","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=620"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/620\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/585"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=620"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=620"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}