{"id":19435,"date":"2026-04-17T15:30:54","date_gmt":"2026-04-17T19:30:54","guid":{"rendered":"https:\/\/ermdigital.com\/index.php\/2026\/04\/17\/han-secuestrado-agentes-de-anthropic-google-y-microsoft-por-el-bien-de-la-ciencia-las-tres-empresas-acabaron-pagando\/"},"modified":"2026-04-17T15:30:54","modified_gmt":"2026-04-17T19:30:54","slug":"han-secuestrado-agentes-de-anthropic-google-y-microsoft-por-el-bien-de-la-ciencia-las-tres-empresas-acabaron-pagando","status":"publish","type":"post","link":"https:\/\/ermdigital.com\/index.php\/2026\/04\/17\/han-secuestrado-agentes-de-anthropic-google-y-microsoft-por-el-bien-de-la-ciencia-las-tres-empresas-acabaron-pagando\/","title":{"rendered":"Han secuestrado agentes de Anthropic, Google y Microsoft por el bien de la ciencia. Las tres empresas acabaron pagando"},"content":{"rendered":"

\n \"Han\n <\/p>\n

En algunos equipos de desarrollo ya se est\u00e1 volviendo habitual apoyarse en agentes de inteligencia artificial<\/a> para revisar incidencias, analizar cambios en el c\u00f3digo y moverse por tareas que antes quedaban en manos humanas. El problema aparece cuando esos sistemas no solo leen informaci\u00f3n que puede venir de fuera, sino que adem\u00e1s operan en espacios donde conviven claves, tokens y permisos sensibles<\/strong>. Eso es lo que pone sobre la mesa una investigaci\u00f3n reciente: no estamos simplemente ante una herramienta \u00fatil que puede equivocarse, sino ante una arquitectura que tambi\u00e9n puede volverse peligrosa si se despliega sin l\u00edmites muy claros.<\/p>\n

<\/p>\n

La alarma la ha encendido Aonan Guan<\/a> y los investigadores de Johns Hopkins Zhengyu Liu y Gavin Zhong tras demostrar ataques contra tres agentes desplegados en la mencionada plataforma: Claude Code Security Review, de Anthropic, Gemini CLI Action, de Google, y GitHub Copilot Agent, una herramienta de GitHub bajo Microsoft. Seg\u00fan su documentaci\u00f3n,<\/a> los fallos fueron comunicados de forma coordinada y acabaron en recompensas econ\u00f3micas pagadas por las compa\u00f1\u00edas, pero lo relevante es que apuntan a un problema m\u00e1s amplio.<\/p>\n

As\u00ed lograron torcer a los agentes desde dentro<\/h2>\n

El nombre que Guan le pone al hallazgo ayuda bastante a entender de qu\u00e9 va todo esto: \u201cComment and Control\u201d. La idea es sencilla de explicar, aunque el fondo no lo sea tanto. En vez de montar una infraestructura externa para dirigir el ataque, el propio GitHub hace de canal de entrada y de salida: el atacante deja la instrucci\u00f3n en un t\u00edtulo<\/strong>, una incidencia o un comentario, el agente la procesa como si formara parte del trabajo normal y el resultado termina reapareciendo dentro de ese mismo entorno. Todo queda en casa, y precisamente ah\u00ed est\u00e1 la clave del problema.<\/p>\n

<\/p>\n

\n
\n
\n
<\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n

Y ese \u201ctodo queda en casa\u201d no es un detalle menor, sino la base de lo que describe la investigaci\u00f3n. Los tres agentes comparten una l\u00f3gica muy parecida: leen contenido normal de GitHub, lo incorporan como contexto de trabajo y, a partir de ah\u00ed, ejecutan acciones dentro de flujos automatizados. El choque aparece porque ese mismo espacio no solo contiene texto enviado por terceros, sino tambi\u00e9n herramientas, permisos y secretos que el agente necesita para operar.<\/p>\n

<\/p>\n

El primer caso que detalla Guan afecta a Claude Code Security Review, una acci\u00f3n de GitHub de Anthropic pensada para revisar cambios de c\u00f3digo y buscar posibles fallos de seguridad. Hasta aqu\u00ed, todo entra dentro de lo esperable. El problema, seg\u00fan explica el investigador, es que bastaba con introducir instrucciones maliciosas en el t\u00edtulo de una pull request<\/em>, que es la solicitud que alguien env\u00eda para proponer cambios en un proyecto, para que el agente ejecutara comandos<\/strong> y devolviera el resultado como si formara parte de su revisi\u00f3n. Despu\u00e9s, el equipo logr\u00f3 ir un paso m\u00e1s all\u00e1 y demostrar que tambi\u00e9n pod\u00eda extraer credenciales del entorno.<\/p>\n

Lo interesante es que el mismo esquema tambi\u00e9n apareci\u00f3 en los otros dos servicios, aunque con matices. En Google, Gemini CLI Action pod\u00eda ser empujado a revelar la GEMINI_API_KEY a partir de instrucciones coladas en una incidencia y en sus comentarios; en GitHub Copilot Agent, la variante era todav\u00eda m\u00e1s preocupante, porque el ataque se escond\u00eda en un comentario HTML que una persona no ve\u00eda en pantalla, pero el agente s\u00ed procesaba cuando otra persona lo asignaba al caso. En ambos escenarios, el fondo volv\u00eda a ser el mismo: contenido aparentemente normal que acababa torciendo el comportamiento del sistema hasta exponer credenciales o informaci\u00f3n sensible dentro del propio GitHub.<\/p>\n

<\/p>\n

\n
\n

\"Claude<\/p><\/div>\n<\/div>\n

Guan asegura que el patr\u00f3n permiti\u00f3 filtrar claves de API, tokens de GitHub y otros secretos expuestos en el entorno donde corr\u00eda el agente, es decir, justo las credenciales que luego pueden abrir la puerta a acciones bastante m\u00e1s delicadas. \u00bfA qui\u00e9n afecta esto? Sobre todo a repositorios que ejecutan agentes en GitHub Actions<\/strong> sobre contenido enviado por colaboradores no fiables y, adem\u00e1s, les dan acceso a secretos o herramientas potentes. El propio investigador matiza que el riesgo depende mucho de la configuraci\u00f3n: por defecto GitHub no expone secretos a las pull requests<\/em> desde forks<\/em>, pero s\u00ed existen despliegues que abren esa puerta.<\/p>\n

<\/p>\n

Y aqu\u00ed aparece otra capa del asunto, menos t\u00e9cnica pero igual de importante. Seg\u00fan public\u00f3 The Register<\/a>, Anthropic, Google y GitHub acabaron pagando recompensas por los hallazgos, pero ninguna de las tres hab\u00eda publicado avisos p\u00fablicos ni asignado CVE<\/a> en el momento de esa informaci\u00f3n. Guan fue bastante claro al respecto: dijo saber \u201ccon certeza\u201d que algunos usuarios segu\u00edan anclados a versiones vulnerables y advirti\u00f3 de que, sin una comunicaci\u00f3n visible, muchos pod\u00edan no enterarse nunca de que estaban expuestos o incluso siendo atacados. As\u00ed que aunque hubo mitigaciones y cambios en documentaci\u00f3n o en el tratamiento interno de los reportes, no exist\u00f3 un aviso p\u00fablico equivalente para todos los posibles afectados.<\/p>\n