Malware en «Agent Skills» evade escáneres de seguridad y roba credenciales en asistentes de programación con IA como Claude Code y OpenAI Codex


Investigadores han identificado una nueva clase de malware que evade los escáneres de seguridad tradicionales al ocultarse dentro de «habilidades de agente» (agent skills), complementos para herramientas de desarrollo de código como Claude Code y OpenAI Codex. Estas habilidades, que funcionan como plugins y permiten a los agentes de IA ejecutar funciones adicionales, han sido explotadas para distribuir malware que roba credenciales de navegador, claves SSH y datos de billeteras de criptomonedas.

Los atacantes emplean técnicas como obstrucción estructural y empaque autoextraíble para eludir escáneres estáticos, logrando que el 90% o más de las muestras maliciosas pasen desapercibidas. La campaña ClawHavoc ha distribuido cientos de habilidades infectadas en mercados públicos, demostrando un riesgo operativo real.

Productos afectados

Fabricante Producto Componente Versiones afectadas
Anthropic Claude Code Mecanismo de habilidades de agente (agent skills) Versiones previas a la implementación de controles de sandboxing avanzado
OpenAI OpenAI Codex Mecanismo de habilidades de agente (agent skills) Versiones previas a la implementación de controles de sandboxing avanzado

Solución

Implementar SkillDetonate o herramientas similares de análisis en sandbox para validar habilidades antes de su ejecución, junto con la revisión manual de scripts y restricción de permisos de los agentes de IA.

Recomendaciones

Desarrolladores: Evitar la ejecución automática de habilidades sin revisión previa; ejecutar habilidades desconocidas en entornos aislados (sandbox) y monitorear actividad de red anómala.

Administradores: Limitar los permisos de los agentes de IA a carpetas y credenciales esenciales, y priorizar la actualización a versiones que incorporen análisis dinámico de habilidades.

Usuarios finales: Descargar habilidades únicamente de fuentes verificadas y evitar instalar complementos de terceros no auditados.

Referencias