TheVortiq
Inteligencia Artificial

Agentes de IA vulnerables al truco Unix del enlace simbólico

Seis asistentes de codificación populares, incluidos Amazon Q y Cursor, caen ante un ataque de symlink que permite el robo de claves y el control remoto del sistema.

9 de julio de 2026 · 4 min de lectura

Side view of unrecognizable hacker in hoodie sitting at white table and working remotely on netbook in light room near wall
Foto de Nikita Belokhonov en Pexels

¿Qué ha ocurrido?

Investigadores de Wiz han identificado una vulnerabilidad, denominada GhostApproval, que afecta a seis asistentes de codificación con IA: Amazon Q Developer, Cursor, Codeium, JetBrains AI Assistant, Sourcegraph Cody y Tabby. El ataque explota la confianza de estos agentes en su propio código generado y en las instrucciones del repositorio, utilizando enlaces simbólicos (symlinks) de Unix para redirigir la escritura de archivos a ubicaciones sensibles.

El truco es simple: un repositorio malicioso contiene un enlace simbólico que apunta a un archivo del sistema, como ~/.ssh/authorized_keys. Cuando el agente de IA escribe código en el repositorio, sigue el symlink y sobrescribe el archivo remoto, añadiendo la clave pública del atacante. Esto permite el acceso SSH sin contraseña al equipo del desarrollador.

Según Wiz, el ataque no requiere que el agente ejecute comandos arbitrarios; basta con que el asistente de codificación genere y escriba código en el directorio de trabajo. Los enlaces simbólicos son una característica de Unix que data de la década de 1970, y su abuso es un vector de ataque clásico en sistemas operativos. Sin embargo, los agentes de IA modernos no estaban preparados para este tipo de manipulación, a pesar de que otros programas, como los editores de texto, suelen implementar verificaciones contra symlinks.

¿Por qué es importante?

Esta vulnerabilidad demuestra que los agentes de IA, a pesar de sus sofisticadas protecciones, son susceptibles a ataques clásicos del sistema operativo. Los asistentes de codificación están diseñados para ejecutar código y modificar archivos de forma autónoma, pero no verifican adecuadamente los destinos de los enlaces simbólicos. El ataque no requiere explotar una vulnerabilidad de IA compleja; basta con un truco de Unix de décadas de antigüedad.

Según Wiz, todos los asistentes probados aprobaron el repositorio malicioso sin cuestionarlo, incluso aquellos que prometen revisar el código antes de ejecutarlo. Esto indica que los mecanismos de seguridad actuales son insuficientes para detectar este tipo de manipulación. El informe de Wiz señala que, aunque algunos asistentes tienen modos de 'revisión de código', el ataque se produce en el flujo de trabajo normal de autocompletado o generación de código, donde el agente escribe archivos sin intervención del usuario.

El contexto histórico es relevante: los enlaces simbólicos han sido utilizados en ataques de escalada de privilegios y denegación de servicio durante décadas. Por ejemplo, en 2015 se descubrió una vulnerabilidad similar en el gestor de paquetes Homebrew, donde un symlink podía redirigir la instalación a ubicaciones del sistema. La diferencia ahora es que los agentes de IA operan con permisos elevados y a menudo se ejecutan en el contexto del usuario, lo que amplifica el daño potencial.

Consecuencias potenciales

Si un desarrollador utiliza un agente de IA para trabajar en un repositorio público o de terceros sin revisar cuidadosamente los cambios, un atacante podría obtener control total sobre su máquina. Las consecuencias incluyen robo de credenciales, acceso a repositorios privados, y potencialmente un pivote hacia la red corporativa. Dado que estos agentes se integran en entornos de desarrollo populares como VS Code, JetBrains IDEs y terminales, el impacto podría ser amplio.

Amazon, Cursor y otras empresas han sido notificadas. Amazon emitió un parche para Amazon Q Developer el 17 de febrero de 2025, según Wiz. Sin embargo, no todos los proveedores han respondido de manera inmediata; algunas empresas aún están evaluando el impacto. Mientras tanto, los usuarios deben estar atentos y evitar aceptar cambios automáticos de repositorios no verificados.

El mercado de asistentes de codificación con IA está en pleno crecimiento: se estima que para 2025, más del 50% de los desarrolladores utilizan alguna herramienta de este tipo, según datos de GitHub. GhostApproval podría frenar la adopción si no se corrigen estos fallos, ya que la confianza en la seguridad es clave para la integración en flujos de trabajo críticos.

¿Qué deben saber los lectores?

  • No confíes ciegamente: Revisa siempre los cambios propuestos por el agente de IA, especialmente si trabajas en un repositorio compartido o público.
  • Actualiza tus herramientas: Aplica los parches de seguridad que los proveedores han lanzado (por ejemplo, Amazon Q ya está corregido).
  • Usa entornos aislados: Ejecuta agentes de IA en contenedores o máquinas virtuales para limitar el daño potencial.
  • Desconfía de repositorios externos: No aceptes automáticamente código de fuentes no confiables, incluso si el agente lo recomienda.
“Es un recordatorio de que la seguridad no solo depende de la IA, sino también del sistema operativo subyacente”, señala el informe de Wiz.

La vulnerabilidad GhostApproval subraya la necesidad de que los desarrolladores de agentes de IA implementen verificaciones más rigurosas sobre las operaciones de archivos, como seguir enlaces simbólicos y validar destinos. Hasta entonces, la responsabilidad recae en el usuario final. Comparado con incidentes anteriores, como el ataque de inyección rápida en GitHub Copilot en 2023, GhostApproval es más sencillo de ejecutar pero igual de peligroso, ya que no requiere ingeniería social compleja. La industria debe aprender de este caso para evitar que los mismos errores se repitan en futuras herramientas.

Puntos clave

  • Seis asistentes de codificación con IA (Amazon Q, Cursor, Codeium, JetBrains AI, Sourcegraph Cody, Tabby) son vulnerables al ataque GhostApproval.
  • El ataque usa un enlace simbólico en un repositorio para redirigir la escritura del agente a archivos del sistema como ~/.ssh/authorized_keys.
  • El agente ejecuta la acción sin cuestionarla, otorgando al atacante acceso SSH remoto al equipo del desarrollador.
  • Solo Amazon ha lanzado un parche hasta ahora; el resto de proveedores están trabajando en soluciones.
  • Los usuarios deben revisar manualmente los cambios propuestos por el agente y usar entornos aislados.

Preguntas frecuentes

¿Qué es GhostApproval?

Es una vulnerabilidad descubierta por Wiz que afecta a agentes de IA de codificación. Permite que un repositorio malicioso, mediante un enlace simbólico, engañe al asistente para que sobrescriba archivos críticos del sistema, como el de claves SSH, otorgando acceso remoto al atacante.

¿Qué asistentes están afectados?

Amazon Q Developer, Cursor, Codeium, JetBrains AI Assistant, Sourcegraph Cody y Tabby.

¿Cómo protegerse?

Actualizar el asistente a la última versión, revisar siempre los cambios propuestos, evitar trabajar con repositorios no confiables y ejecutar el agente en un entorno aislado (contenedor o VM).

Fuentes utilizadas

Comentarios

Sé el primero en comentar.

Deja tu comentario