Estudio de Mozilla advierte que agentes de inteligencia artificial pueden ser inducidos a ejecutar malware desde repositorios limpios de GitHub

Qué pasó

El 27 de junio de 2026, el equipo de Mozilla Zero Day Investigative Network (0DIN) divulgó una investigación que demuestra cómo un repositorio de GitHub aparentemente legítimo puede manipular a un agente de codificación con inteligencia artificial para ejecutar una carga maliciosa, aun cuando el código dañino no se encuentre dentro del repositorio clonado.

De acuerdo con el informe, el ataque se compone de tres elementos que, analizados de forma individual, no representan amenaza alguna ni levantan sospechas. El primero es un repositorio de GitHub con instrucciones de configuración estándar, que contempla la instalación de dependencias mediante comandos convencionales. El segundo corresponde a un paquete de Python diseñado intencionalmente para rechazar su ejecución hasta ser inicializado, generando un mensaje de error que sugiere al usuario ejecutar un comando específico. El tercero es un registro DNS de tipo TXT controlado por el atacante, cuyo contenido es recuperado durante el proceso de configuración.

Cuando el desarrollador clona el repositorio y utiliza un agente como Claude Code para configurar el proyecto, el modelo identifica el error y ejecuta automáticamente el comando sugerido para resolver la falla. Dicho comando activa un script de shell que consulta el registro DNS controlado por el atacante y ejecuta su contenido como instrucción del sistema, abriendo una shell interactiva con los privilegios del desarrollador afectado.

Los investigadores de 0DIN subrayaron que Claude Code nunca decidió abrir una shell remota deliberadamente, sino que intentó corregir un error siguiendo las instrucciones disponibles en el propio flujo de configuración. La cadena de ataque involucra tres niveles de indirección: un mensaje de error en el que el modelo confió, un script que recuperó un valor desde una

Contexto

La investigación de Mozilla se inscribe en una creciente preocupación del sector tecnológico por la seguridad de los agentes de inteligencia artificial aplicados al desarrollo de software. Herramientas como Claude Code, GitHub Copilot y Cursor han transformado los flujos de trabajo de los equipos de ingeniería durante los últimos años, automatizando tareas que anteriormente requerían intervención manual, como la configuración de proyectos, la resolución de dependencias y la corrección de errores comunes.

Este nuevo vector de ataque se diferencia de las amenazas tradicionales a la cadena de suministro de software porque no depende de la inclusión de código malicioso en el repositorio clonado. En consecuencia, los escáneres de seguridad estáticos, las revisiones de código humanas y los propios agentes de inteligencia artificial son incapaces de identificar la amenaza, dado que el componente dañino reside fuera del repositorio, en infraestructura controlada por el atacante.

Los investigadores de 0DIN advirtieron que, aunque el método presentado constituye actualmente una prueba de concepto, los actores maliciosos podrían distribuir estos repositorios mediante ofertas de empleo falsas, tutoriales en línea, publicaciones en blogs o mensajes directos dirigidos a desarrolladores. La técnica explota la confianza que los equipos de desarrollo depositan en los asistentes automatizados, particularmente cuando estos operan con permisos elevados sobre los sistemas locales de trabajo.

Impacto para empresas chilenas

En el contexto chileno, la adopción de herramientas de inteligencia artificial para el desarrollo de software ha experimentado un crecimiento sostenido durante los últimos dos años, tanto en empresas de tecnología como en áreas de transformación digital de compañías tradicionales. Equipos de ingeniería de bancos, retail, telecomunicaciones y firmas de servicios profesionales han integrado asistentes de codificación en sus flujos de trabajo para acelerar la entrega de proyectos y reducir la carga operativa de tareas repetitivas.

Esta investigación plantea un desafío relevante para los equipos de seguridad corporativa en Chile, particularmente para las áreas encargadas de gestionar la cadena de suministro de software. La mayoría de las empresas locales carece de políticas formalizadas para auditar los comandos ejecutados por agentes de inteligencia artificial, y los procesos de revisión de código suelen enfocarse en el contenido estático de los repositorios, sin contemplar la ejecución dinámica de scripts durante la configuración inicial de los proyectos.

Para las pequeñas y medianas empresas chilenas que están adoptando estas herramientas sin equipos de ciberseguridad dedicados, el riesgo resulta especialmente elevado. Un único compromiso en el equipo de un desarrollador podría exponer credenciales de producción, claves de acceso a servicios en la nube y datos sensibles de clientes, con consecuencias regulatorias bajo la Ley de Protección de Datos Personales y potenciales impactos reputacionales significativos en el mercado local.

Qué sigue

Los investigadores de 0DIN recomendaron que los agentes de inteligencia artificial divulguen de manera transparente la cadena completa de ejecución de los comandos de configuración, incluyendo los scripts invocados y el código obtenido dinámicamente durante el tiempo de ejecución. Esta medida permitiría a desarrolladores y equipos de seguridad identificar comportamientos anómalos antes de que se materialice un compromiso.

A nivel de industria, se anticipa que los proveedores de asistentes de codificación deberán incorporar mecanismos de validación más estrictos, como la verificación de firmas digitales en los paquetes instalados, el bloqueo de comandos que ejecuten contenido recuperado desde fuentes externas y la presentación explícita de cada paso antes de su ejecución. El equilibrio entre automatización y supervisión humana volverá a situarse en el centro del debate sobre el desarrollo de software asistido por inteligencia artificial.