Ataque 'Ghostcommit' oculta instrucciones maliciosas en imágenes para robar credenciales mediante agentes de inteligencia artificial

Qué pasó
El ASSET Research Group de la Universidad de Missouri-Kansas City, integrado por el profesor asociado Sudipta Chattopadhyay y el investigador Murali Ediga, publicó esta semana una prueba de concepto denominada 'Ghostcommit' que explota puntos ciegos en los sistemas de revisión de código asistidos por inteligencia artificial. La técnica incorpora instrucciones maliciosas dentro de imágenes PNG que los revisores automatizados no pueden interpretar, permitiendo que la carga atraviese el proceso sin ser detectada. Un análisis de 6.480 solicitudes de cambios en los 300 repositorios públicos más activos de los últimos 90 días reveló que el 73% de las solicitudes fusionadas llegaron a la rama principal sin revisión sustantiva ni automatizada. El equipo notificó los hallazgos a los proveedores afectados antes de la publicación.
El mecanismo se apoya en un archivo de convención que los agentes leen automáticamente como política del proyecto, el cual apunta a una imagen donde reside el verdadero exploit. La instrucción indica leer el archivo de variables de entorno byte a byte, codificar cada byte como un número entero y emitir el resultado como una constante del módulo. CodeRabbit excluye los archivos de imagen por configuración predeterminada y Bugbot no reportó hallazgos; incluso cuando los investigadores insertaron palabras indicativas de su carácter malicioso dentro del PNG, el archivo pasó sin observaciones.
El robo ocurre en una sesión posterior. Cuando el desarrollador solicita una tarea rutinaria, el agente lee el archivo de convención, sigue la referencia hacia la imagen, abre el archivo de variables de entorno y escribe el módulo solicitado con los datos sustraídos como una constante. En una ejecución completa, Cursor operando con Claude Sonnet produjo al primer intento una constante de 311 números enteros que correspondía a la totalidad del archivo de variables de entorno, y el atacante decodifica los números para obtener las credenciales.
Contexto
La aparición de Ghostcommit coincide con la aceleración en la adopción de asistentes de programación con inteligencia artificial. Herramientas como Cursor, GitHub Copilot y Claude han pasado de uso experimental a componentes centrales en empresas de todo tamaño. Los archivos de convención leídos automáticamente por estos agentes se han transformado en una práctica estándar, pero también representan una superficie de ataque emergente con escasa atención en materia de seguridad.
La vulnerabilidad ilustra un patrón más amplio: los sistemas están entrenados para procesar lenguaje natural y código estructurado, pero su tratamiento de activos binarios permanece subdesarrollado. Los archivos de imagen suelen excluirse de los flujos automatizados por razones de rendimiento, aunque pueden contener contenido semántico significativo para modelos con capacidad de visión, generando una categoría de ataques para la que el análisis estático tradicional no fue concebido.
La brecha cuantificada por el equipo de Missouri-Kansas City, donde casi tres cuartos de los cambios fusionados no reciben una revisión sustantiva, refleja presiones estructurales sobre los equipos de ingeniería y sugiere que la automatización, mal configurada, puede convertirse en un vector para ataques a la cadena de suministro de software.
Impacto para empresas chilenas
Las empresas chilenas que han incorporado asistentes de programación con inteligencia artificial enfrentan una exposición directa a las vulnerabilidades ilustradas por Ghostcommit. Las firmas locales de tecnología financiera, exportadoras de software y startups tecnológicas han acelerado la integración de herramientas como Cursor y Claude, y muchas operan con configuraciones predeterminadas sin realizar auditorías de seguridad independientes.
El ataque tiene implicaciones más allá del desarrollo de software. A medida que los agentes de inteligencia artificial se despliegan en atención al cliente, análisis financiero y tareas operativas, el principio demostrado por Ghostcommit se aplica a procesos corporativos en sectores regulados como banca y salud, donde los protocolos deberían extenderse para cubrir todos los insumos procesados por sistemas automatizados, no únicamente datos textuales.
Para las pequeñas y medianas empresas con recursos limitados en ciberseguridad, la demostración subraya la necesidad de garantías a nivel de proveedor sobre el alcance de la revisión automatizada. Los contratos deberían especificar que los sistemas cubren todos los tipos de archivo en un repositorio, y las compañías deberían establecer políticas internas que exijan revisión humana de los cambios que introducen nuevos archivos de convención.
Qué sigue
Los investigadores notificaron los hallazgos a los proveedores afectados, lo que sugiere que en los próximos meses podrían publicarse parches o guías de configuración. Las empresas deberían revisar sus configuraciones para asegurar que los archivos de imagen y otros activos binarios no queden excluidos del proceso, e implementar análisis estático complementario sobre los archivos de convención. En el mediano plazo, la demostración probablemente acelerará la discusión sobre la extensión de los marcos de seguridad de la cadena de suministro a los flujos de desarrollo mediados por inteligencia artificial.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados

Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.

Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.

Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.