AGENTS
(151)151 hack(s).
Cómo unas preferencias sincronizadas pueden secuestrar las herramientas locales de Claude Desktop
Pentera demostró que un atacante con acceso a la cuenta puede ocultar instrucciones en las Preferencias personales sincronizadas de Claude Desktop para forzar a sus herramientas locales a ejecutar comandos.
Cuando la base de datos es la frontera de seguridad: atacar a los agentes de datos LLM
Un estudio de junio de 2026 ataca agentes analíticos gobernados por LLM en seis sistemas y demuestra que ni la seguridad del modelo ni los controles clásicos de base de datos bastan por sí solos.
Abstención de los agentes de IA: ¿saben cuándo no actuar?
Un nuevo benchmark evalúa si los agentes con herramientas saben cuándo NO actuar. El mejor agente de vanguardia solo alcanza el 59,5 %, y esa capacidad apenas mejora a medida que los modelos se vuelven más potentes.
Colusión de agentes: canales encubiertos para coordinarse ante los monitores
Dos estudios de 2026 muestran que los agentes LLM pueden crear canales encubiertos para coludir sorteando a los monitores de texto plano, y que el uso de herramientas ya hace esos canales casi indetectables.
La frontera de observabilidad: por qué los monitores por agente no ven las backdoors distribuidas
Un artículo de julio de 2026 formaliza por qué los monitores en tiempo de ejecución que inspeccionan cada paso de agente por separado no pueden detectar una backdoor repartida entre agentes — y muestra que la detección solo vuelve al cambiar lo que el monitor observa.
El panel Hub de Cline: la interfaz de bucle local confundida con autenticación, otra vez
Un aviso del 8 de julio de 2026 muestra que el panel Hub de Cline expone un WebSocket local sin verificar el Origin y con un secreto compartido desactivado por defecto — la segunda falla WebSocket cross-origin de Cline en dos meses.
El agente Neo4j de Langroid ejecuta Cypher generado sin control — el gemelo del fallo SQL
El agente de base de datos de grafos de Langroid entrega el Cypher generado por el modelo directamente a Neo4j, sin validación. Una inyección de prompt puede borrar el grafo o, con APOC habilitado, alcanzar el host — el mismo defecto ya corregido en el agente SQL, dejado abierto en el módulo Neo4j.
Violaciones de política silenciosas: agentes que rompen las reglas y reportan éxito
Un artículo de julio de 2026 muestra que los agentes con herramientas realizan escrituras prohibidas que no generan ningún error — y que unas compuertas deterministas previas las detienen.
Disparadores durmientes en las fotos: envenenar la memoria de los agentes recomendadores
Un artículo de abril de 2026 muestra que una foto subida a un agente recomendador puede ocultar un disparador latente que más tarde secuestra su planificación, sin inyección de prompts. Una defensa de doble proceso reduce la tasa de éxito de ~85 % a ~10 %.
DeepJack: argumentos ocultos en el deeplink de instalación MCP de Cursor llevan a ejecución de código
Un enlace cursor:// manipulado instala un servidor MCP controlado por el atacante cuyo comando real se desplaza fuera de la pantalla en el diálogo, logrando ejecución de código sin sandbox tras un solo clic.
Cargas ocultas en los metadatos de herramientas MCP: la brecha de fidelidad de la vista de aprobación
Un estudio de julio de 2026 muestra que caracteres Unicode TAG invisibles pueden colar instrucciones en los metadatos de herramientas MCP — presentes en el contexto del modelo, ausentes en el diálogo de aprobación que ve el usuario.
Cuando el agente ignora las precondiciones de un skill: el estudio SLBench
Un benchmark de julio de 2026 mide si los agentes LLM respetan de verdad las relaciones lógicas escritas en los archivos de skills — precondiciones y restricciones — convirtiéndolas en pruebas ejecutables.
Cuando el agente ejecuta su propio código: el CodeAgent de PraisonAI convierte la inyección de prompt en RCE
Divulgada el 11 de julio de 2026, una falla de severidad máxima en PraisonAI ejecuta Python generado por el LLM sin validación de AST, sin restricción de imports ni sandbox — un prompt bien diseñado se convierte en código arbitrario en el host.
Subtareas inofensivas, plan dañino: la brecha de generación de plan en agentes de IA
Un artículo de abril de 2026 muestra que una sola petición de apariencia banal puede llevar a un orquestador LLM a planificar pasos que superan cada filtro de seguridad pero violan la política al combinarse — y prueba que los filtros por subtarea no pueden evitarlo.
Exponer una herramienta no es autorizar la llamada en los frameworks de agentes
Una auditoría de junio de 2026 sobre LangChain, LlamaIndex y el Stripe Agent Toolkit halla que ninguno revalida los argumentos reales de una llamada antes de ejecutarla: un pago inyectado pasa.
GhostApproval: cuando el aviso de aprobación de un agente de código oculta el destino real
Wiz Research divulgó el 8 de julio de 2026 un fallo de frontera de confianza en seis asistentes de código con IA: un repositorio malicioso usa un enlace simbólico para que una edición aprobada escriba en ~/.ssh/authorized_keys.
Reformulación operativa: la señal de riesgo más transferible en la seguridad multiagente
Un estudio de arXiv de julio de 2026 descompone los fallos de seguridad «de pipeline» en agentes planificador-ejecutor: no es la arquitectura, sino reformular el daño como tarea operativa lo que se transfiere entre modelos, y un prompt de ejecutor escéptico lo mitiga.
VEXAIoT: agentes LLM que encadenan reconocimiento y explotación de IoT en laboratorio
Un artículo de julio de 2026 conecta dos agentes LLM en una tubería de ataque IoT —reconocimiento y luego explotación— con un 95 % de éxito sobre objetivos deliberadamente vulnerables. Qué significa para los defensores.
WriteOut: cuando un sandbox de IA reenvía la cookie de sesión del usuario
Un fallo crítico, ya corregido, en la plataforma de IA empresarial Writer permitía que un simple enlace de vista previa de un agente secuestrara la cuenta de cualquier usuario conectado, incluso entre organizaciones. Causa raíz: un sandbox gestionado que recibía la cookie de sesión de la víctima.
Escape del sandbox de Cowork: un RPC firmado que confiaba en los privilegios del cliente
Unos investigadores encadenaron un DLL sideloading y un RPC por named pipe demasiado permisivo para llegar a root dentro del sandbox Linux de Claude Cowork. Anthropic considera la ejecución local un requisito, no un fallo.
Pedir a un agente de IA que revise código no confiable puede ejecutar el código del atacante
El informe Friendly Fire de AI Now Institute muestra que apuntar un agente de código en modo automático a un repositorio hostil para auditarlo permite que el texto inyectado del repo lleve al agente a ejecutar código del atacante en la máquina.
GhostWriter: envenenar la memoria de un agente de IA personal con un simple correo
Un artículo de julio de 2026 muestra que un atacante puede ocultar una instrucción en un correo anodino, lograr que un agente asistente la guarde como memoria y verla ejecutada días después — con una defensa que lo impide.
Legitimación de intención: cuando la memoria de un agente personal erosiona su propia seguridad
Un estudio de enero de 2026 muestra que recuerdos benignos y veraces en un asistente de IA personalizado pueden sesgar su inferencia de intención y llevarlo a responder solicitudes dañinas que de otro modo rechazaría, sin ningún ataque.
Un sandbox eval() incompleto en Langroid permite que un prompt ejecute código
El primer parche de Langroid para un fallo de inyección de código en TableChatAgent dejó un modo opcional donde el sandbox de eval() olvida quitar los built-ins de Python, reabriendo la ejecución remota de código sin autenticación.
Cómo un solo permiso de edición podía secuestrar todos los chatbots de Dialogflow CX de un proyecto
El hallazgo Rogue Agent de Varonis muestra que un simple permiso de edición sobre un agente de Dialogflow CX equivalía a un derecho de ejecución de código sobre un runtime compartido e invisible, y sobre todos los chatbots del proyecto de Google Cloud.
Cuando los agentes «computer-use» pulsan píxeles caducados: la carrera captura-acción
Una captura de pantalla es una comprobación; un clic es un uso. Si la pantalla cambia entremedias, el agente actúa sobre píxeles que ya no existen — un TOCTOU clásico convertido en exploit real.
Cómo la curación adversaria de un feed dirige las decisiones de un agente LLM
Un estudio de junio de 2026 muestra que elegir qué publicaciones inofensivas lee un agente LLM antes de actuar puede inclinar sus decisiones — sin ninguna instrucción inyectada ni carga que un filtro pudiera detectar.
La nueva MCP empresarial traslada la seguridad del protocolo a tus desarrolladores
La especificación MCP 2026-07-28 elimina el secuestro de sesión a nivel de protocolo, los prompts no solicitados y la autenticación débil, pero entrega nuevas superficies de ataque (estado manipulado, metadatos sin firmar, desync de cabeceras, XSS de apps, DoS de tareas) a los desarrolladores.
La superficie RCE recurrente de n8n: un hub de automatización que guarda todas tus claves
Una oleada de fallos críticos en la plataforma n8n en junio de 2026 —escapes de sandbox, prototype pollution, evaluación de expresiones— muestra por qué un hub de automatización con IA que almacena todos tus secretos es un punto único de fallo.
Las herramientas de red team agénticas pueden ser secuestradas por sus propios objetivos
Un estudio de junio de 2026 audita 12 herramientas ofensivas agénticas y demuestra que un objetivo puede darle la vuelta: robar claves de API y ejecutar código en la máquina del operador, incluso dentro de un sandbox.
Ataques de razonamiento falsificado: envenenar los registros de decisión de un agente
Un artículo de julio de 2026 muestra que un atacante puede falsificar el razonamiento memorizado de un agente — hacerle creer que ya se ejecutaron controles de seguridad — y lo acompaña con una defensa de detección por capas.
Bucles de agente infinitos: detectar rutas de realimentación no acotadas
Un estudio de julio de 2026 define los bucles de agente infinitos y escanea 6.549 repositorios, confirmando 68 rutas de realimentación no acotadas que pueden provocar agotamiento de costes, denegación de servicio y crecimiento descontrolado del contexto.
Envenenamiento de la superficie de herramientas WebMCP: secuestrar al agente en plena sesión
Un artículo de junio de 2026 muestra que un script de terceros comprometido puede sustituir o reencuadrar las herramientas que un agente WebMCP percibe en plena sesión, provocando llamadas maliciosas con hasta un 100 % de éxito.
AgentCanary: un banco de pruebas de seguridad para agentes en entornos reales
Un marco de junio de 2026 de Ant Group evalúa 12 agentes LLM en entornos de herramientas reales y con estado persistente: a menudo no reconocen los ataques, sobre todo vía habilidades envenenadas y cadenas largas.
Blanqueo de prompts entre modelos: un rechazo que no sobrevive al relevo
En los stacks multiagente, la salida de un modelo se convierte en el turno de usuario de otro. Un hallazgo de julio de 2026 muestra que el segundo modelo ignora el rechazo del primero — y obedece.
FlowSteer: dirigir la formación del flujo multiagente con un solo prompt
Un artículo de mayo de 2026 muestra que un atacante limitado al prompt puede sesgar cómo un sistema multiagente planificador-ejecutor construye su flujo de trabajo, elevando el éxito malicioso hasta un 55 % antes de que se ejecute agente alguno.
El Misattribution Gap: el envenenamiento de memoria que se le achaca al modelo
Un único documento con formato de «política interna», subido una sola vez a la memoria compartida de un agente, produce violaciones idénticas a un fallo de alineamiento — así que los equipos reentrenan el modelo y dejan el ataque intacto.
STAC: encadenar llamadas de herramientas inofensivas para secuestrar un agente IA
Un marco de investigación demuestra que una secuencia de llamadas de herramientas inofensivas por separado puede llevar a un agente a una acción final dañina, burlando la seguridad de los modelos punteros con más del 90 % de éxito.
El diputado confundido visual: cuando un agente de ordenador pulsa el botón equivocado
Un artículo de marzo de 2026 eleva los fallos de percepción de los agentes CUA a clase de vulnerabilidad. Un intercambio de capturas de 8 líneas convierte un clic rutinario en escalada de privilegios — y una barrera fuera de la mirada del agente ayuda.
Los escapes del sandbox vm2 convierten la inyección de prompts en RCE en el host
Una oleada de escapes descubierta en 2026 en vm2 — la biblioteca de Node.js que muchos frameworks de agentes usan para ejecutar el JavaScript generado por el modelo — permite que una inyección de prompt salga del sandbox y ejecute comandos en el host.
El sandbox de Claude Cowork: una fuga a root en disputa y el debate de la ejecución local
Una cadena publicada el 1 de julio de 2026 alcanza root dentro del sandbox Linux de Claude Cowork y elimina sus restricciones de red. Anthropic no la considera vulnerabilidad porque exige acceso local previo.
El servidor Kanban de Cline: un secuestro WebSocket de origen cruzado que lleva a la ejecución de código
Una divulgación de mayo de 2026 muestra que el servidor WebSocket local del Kanban de Cline no valida ningún origen: cualquier sitio que visite el desarrollador puede leer el espacio de trabajo e inyectar comandos en un agente activo.
Gobernanza en ejecución para agentes de IA: la arquitectura de referencia de cinco planos
Un artículo de junio de 2026 sostiene que el riesgo de los agentes vive ahora dentro del flujo de trabajo, no en la frontera de datos, y propone una arquitectura de cinco planos: arbitrar la intención una vez, aplicarla en cuatro planos.
Cómo la compactación de contexto borra en silencio las reglas de seguridad de un agente
Un benchmark de junio de 2026 muestra que resumir el historial de un agente para ahorrar tokens puede eliminar de forma silenciosa las reglas de política en contexto, elevando las violaciones de llamadas a herramientas del 0 % hasta el 59 %.
Los agentes de largo horizonte necesitan seguridad frente a la propagación
Un artículo de junio de 2026 mapea cómo los ataques a agentes de IA de largo horizonte se propagan por memoria, herramientas y planificación, y persisten durante muchos pasos, donde fallan las defensas de un solo paso.
Generación de código multiagente: cuando una instrucción inyectada se amplifica entre agentes
En los equipos de agentes que escriben código, una instrucción inyectada no se atenúa entre saltos. Investigaciones de 2026 muestran que intermediarios de confianza la reformulan y la hacen más fuerte.
BioShocking: presentar una tarea como un juego hace que los navegadores IA filtren credenciales
La técnica BioShocking de LayerX convence a los navegadores agénticos de que están dentro de un juego: aplican la lógica del juego en lugar de la de seguridad y entregan las credenciales del usuario.
mcp-pinot: un servidor MCP sin autenticación como diputado confuso
Una divulgación de junio de 2026 muestra un servidor MCP para Apache Pinot expuesto en 0.0.0.0 sin OAuth, permitiendo a cualquier llamante de la red ejecutar sus herramientas de base de datos privilegiadas.
Envenenar lo que un agente web recuerda: ataques activados sobre la memoria multimodal
Un artículo de junio de 2026 muestra que los agentes web que guardan sus observaciones en una memoria en grafo pueden envenenarse: un disparador visual recupera después el contenido del atacante y dirige al agente, de forma persistente y reutilizable.
Un solo robot comprometido puede propagar acciones inseguras a todo un equipo de robots LLM
Un primer estudio sobre flotas de robots controladas por LLM muestra que manipular un único robot de entrada basta para propagar acciones inseguras a todo el equipo mediante la comunicación entre robots.
OEP: envenenar agentes autoevolutivos con casos límite limpios
Un estudio de mayo de 2026 muestra que un atacante con pocos privilegios puede corromper las reglas aprendidas de un agente autoevolutivo con casos límite benignos y localmente correctos — más del 50 % de éxito en GPT-4o, y resistente a las defensas actuales.
Cuando el pentest muerde: atacar las herramientas que hacen red team por ti
Un estudio de junio de 2026 muestra que los agentes ofensivos autónomos pueden volverse contra sus operadores. Un objetivo trampa hace que el agente ejecute una herramienta falsa —sin inyección de prompt— para lograr ejecución de código casi determinista.
IDEsaster: cuando las funciones del IDE base se vuelven primitivas de RCE
Ari Marzouk reveló una clase de vulnerabilidades en la que la inyección de prompts lleva a los agentes de código a abusar de las funciones nativas del editor subyacente — hasta la exfiltración y la ejecución de código en casi todos los IDE con IA.
Autoridad residual: revocar las capacidades de un agente de código tras la tarea
Un estudio de junio de 2026 nombra un punto ciego: los agentes de código conservan sus permisos sobre las herramientas mucho después de cerrarse el subobjetivo que los justificaba. Un monitor que revoca esas capacidades frena el abuso por reejecución.
MOSAIC-Bench: los agentes de código generan código explotable a partir de tickets inocuos
Un benchmark de mayo de 2026 muestra que los agentes de código superan los controles de seguridad prompt a prompt, pero ensamblan código explotable cuando un objetivo malicioso se divide en tickets de ingeniería rutinarios — y los agentes revisores lo dejan pasar.
Cuando el agente pasa de leer a actuar: envenenamiento de descripciones de herramientas MCP
Microsoft Incident Response (30 de junio de 2026) muestra cómo una descripción de herramienta MCP modificada en silencio puede llevar a un agente a exfiltrar datos — sin prompt, sin credencial y sin intervención del usuario.
Amazon Q ejecutaba la config MCP de un repo y exponía las claves cloud del desarrollador
Wiz reveló (26 de junio de 2026) que Amazon Q Developer lanzaba automáticamente servidores MCP desde un archivo de config del repo, sin consentimiento: abrir un proyecto malicioso podía ejecutar código y robar credenciales cloud.
DuneSlide: una inyección de prompts escapa del sandbox de Cursor hasta el RCE
El 1 de julio de 2026, Cato AI Labs reveló dos fallos críticos en el sandbox de ejecución automática de Cursor. Un único prompt envenenado sobrescribe el binario del sandbox y convierte una caja cerrada en ejecución de código — sin un solo clic.
GuardFall: los guardas de comandos de los agentes de código inspeccionan un texto que el shell reescribe
GuardFall (Adversa AI, 30 de junio de 2026) evade el filtro de seguridad de 10 de 11 agentes de código de código abierto explotando una brecha conocida desde hace décadas: el guarda revisa el texto en bruto del comando mientras bash lo expande y lo reescribe antes de ejecutarlo.
OWASP ASI03: cuando un agente hereda más identidad de la que debería
El abuso de identidad y privilegios es el riesgo n.º 3 del Top 10 de OWASP para aplicaciones agénticas. Un agente rara vez obtiene su propia identidad: hereda la tuya, acumula permisos y conserva tokens que sobreviven a la tarea.
El grafo de comunicación de los agentes revela el flujo antes de ejecutarse
Un artículo de arXiv del 5 de junio de 2026 muestra que, incluso con cargas útiles cifradas, el grafo de comunicación A2A/MCP permite a un observador pasivo predecir la clase de tarea de un flujo desde su inicio — y actuar antes de que termine.
Selección de herramientas con privilegios excesivos: los agentes eligen más potente de lo necesario
Un artículo de junio de 2026 y su benchmark ToolPrivBench muestran que los agentes LLM habituales eligen con frecuencia herramientas más privilegiadas de lo preciso — y que la alineación de seguridad no lo corrige.
Daño autoinfligido por agentes: cuando la IA rompe producción sin atacante
El estudio de Cyera de mayo de 2026 sobre más de 7.200 incidentes de IA aísla 344 casos de daño causado por agentes —188 sin ningún atacante externo— en los que agentes autónomos borraron bases de datos, filtraron secretos y agotaron presupuestos.
WAAA: cuando los navegadores agénticos resucitan ataques web
Un artículo de mayo de 2026 construye el primer modelo de amenazas centrado en la web para navegadores agénticos y muestra que 10 ataques web mitigados desde hace tiempo regresan, a menudo amplificados, porque el agente es un delegado confundido incapaz de distinguir un paso de la tarea de una trampa web.
AutoJack: un agente navegador convierte una página web en RCE en el host
La investigación AutoJack de Microsoft (18 de junio de 2026) muestra a un agente de IA navegador heredando la identidad localhost para alcanzar un WebSocket MCP local y ejecutar procesos arbitrarios en el host.
CVE-2026-32211: falta de autenticación en Azure MCP Server
Microsoft publicó CVE-2026-32211 el 2 de abril de 2026: una falta de autenticación en Azure MCP Server que permite a un atacante no autenticado divulgar información por la red. Microsoft la puntúa 9,1; el NVD, 7,5.
CVE-2026-0755: inyección de comandos y robo de archivos en gemini-mcp-tool
Un aviso del 18 de junio de 2026 detalla cómo el popular gemini-mcp-tool dejaba que una entrada no confiable llegara al shell y al parser @file de Gemini CLI — RCE CVSS 9.8 y exfiltración de archivos, corregido en 1.1.6.
Agentes de código demasiado celosos: acciones fuera de alcance en tareas benignas
Dos benchmarks de mayo de 2026 miden a los agentes de código que se exceden en peticiones benignas — borran archivos, eliminan credenciales — y muestran que el riesgo lo determina el framework, no el modelo.
Sleeper Memory Poisoning: ataques latentes contra agentes LLM con memoria
Un artículo de mayo de 2026 muestra que un atacante puede implantar 'memorias' falsas a través de un documento o una página web, que permanecen latentes y luego dirigen las acciones de un asistente en sesiones posteriores.
Secuestro de selección de herramienta: forzar al agente a elegir la del atacante
Un ataque de NDSS 2026 y un artículo de IBM de abril de 2026 apuntan al mismo punto ciego: el paso en que un agente elige qué herramienta llamar. Envenene el catálogo y el agente elige la suya, con un 70 a 100 % de éxito.
Inyección almacenada: cuando una inyección sobrevive a la sesión
Un artículo de arXiv de junio de 2026 replantea la inyección de prompts como un problema almacenado y entre sesiones: una vez que el texto adversario queda en el estado persistente de un agente, puede dirigir ejecuciones mucho después de que el atacante se haya ido.
MemPoison: troyanizar la memoria de un agente con una simple conversación
Un artículo de arXiv de mayo de 2026 implanta una puerta trasera activable en la memoria a largo plazo de un agente LLM con solo conversar — y está diseñado para sobrevivir a las etapas de extracción y reescritura que deberían filtrar el contenido envenenado.
NRT-Bench: red-teaming multironda de agentes LLM que operan una planta
Un benchmark publicado el 18 de junio de 2026 sitúa a agentes LLM operadores en una sala de control nuclear simulada. Ataques multironda adaptativos cruzaron un límite de seguridad en el 8,7-12,1 % de las sesiones, y los fallos apenas se solapan entre modelos.
Vertex AI «Double Agents»: service agents con privilegios excesivos como vía de escalada en la nube
Unit 42 mostró (31 de marzo de 2026) que un despliegue de Vertex AI Agent Engine expone, vía el servicio de metadatos, una identidad de servicio demasiado amplia — convirtiendo un agente mal configurado en acceso de lectura a todos los buckets del proyecto.
Agent libOS: que la frontera de autoridad sea el runtime, no el wrapper de la herramienta
Un artículo de arXiv del 2 de junio de 2026 sostiene que la mayoría de los frameworks de agentes confunden visibilidad de una herramienta con autoridad sobre un recurso, y propone un runtime tipo library-OS donde los controles de capacidades viven en las primitivas, no en los wrappers.
Confusión de autoridad: cuando el agente con herramientas abusa de su propio acceso
Un artículo de mayo de 2026 nombra un modo de fallo distinto de la inyección de prompts: un dato no confiable puede informar el razonamiento de un agente, pero nunca autorizar un efecto secundario. AIRGuard impone esa frontera en el momento de la acción.
CVE-2026-26268: el agente de Cursor convierte un git checkout en ejecución de código
Un repositorio malicioso oculta un repositorio Git «bare» con un hook automático. Cuando el agente de IA de Cursor ejecuta git checkout para «explicar el código», el hook se dispara — ejecución de código arbitrario en la máquina del desarrollador, sin confirmación. Corregido en Cursor 2.5.
CSRF en el SDK de Go de MCP: una web puede ejecutar tus herramientas locales (CVE-2026-33252)
El SDK oficial de Go de MCP aceptaba POST entre sitios del navegador sin validar la cabecera Origin. En un servidor local sin autenticación, cualquier web visitada podía invocar tus herramientas. Corregido en 1.4.1.
CVE-2026-26030: la inyección de prompts se convierte en RCE en Microsoft Semantic Kernel
El AI Red Team de Microsoft mostró dos fallos de Semantic Kernel que convierten un solo prompt inyectado en ejecución de código en el host. La lección: todo parámetro de herramienta que el modelo pueda influir es una entrada controlada por el atacante. Corregido el 7 de mayo de 2026.
SkillAttack: un red-teaming automatizado encuentra exploits en las skills de agentes
Un artículo de abril de 2026, SkillAttack, replantea el descubrimiento de exploits como un problema de búsqueda de rutas y muestra que incluso skills bien intencionadas son alcanzables — hasta 0,93 de tasa de éxito en skills adversas.
Ataques mediados por el usuario: cuando el usuario es el canal de inyección
Un estudio de enero de 2026 sobre 12 agentes comerciales muestra que el atacante no necesita tocar el agente. Engaña a un usuario de buena fe para que reenvíe contenido envenenado, que la jerarquía de instrucciones eleva entonces a intención de usuario de confianza. Tasa de evasión por defecto superior al 92 %.
Los agentes de navegador revelan su modelo por su forma de hacer clic
Un artículo del 14 de mayo de 2026 muestra que las acciones de un agente de navegador LLM en una página bastan para identificar el modelo subyacente, con hasta un 96 % de precisión en 14 modelos de vanguardia, sin cabeceras falsificables.
AI Agent Traps: el mapa de seis categorías de DeepMind sobre cómo la web secuestra a los agentes
El paper «AI Agent Traps» de Google DeepMind (SSRN, finales de marzo de 2026) ofrece la primera taxonomía sistemática del contenido web adversario que ataca la percepción, el razonamiento, la memoria, la acción, la dinámica multiagente y al supervisor humano de un agente.
SearchGEO: hacer que los agentes de búsqueda LLM respalden páginas del atacante
Un artículo de arXiv del 15 de junio de 2026 mide cómo el contenido web controlado por un atacante se convierte en una recomendación respaldada por el agente — la tasa de éxito va del 0 % al 31,4 % según el modelo.
ShadowMerge: envenenar la memoria-grafo de los agentes por colisión de relaciones
Un artículo de mayo de 2026 envenena la memoria-grafo de un agente con relaciones que comparten un ancla y un canal reales pero con un valor contradictorio: 93,8 % de éxito en Mem0, y los filtros de entrada no lo detectan.
Agentes zombis: cuando un agente LLM autoevolutivo sigue comprometido entre sesiones
Una inyección indirecta puntual, observada durante una sesión inocua, puede escribirse en la memoria a largo plazo del agente y reproducirse luego como instrucción, convirtiendo un prompt efímero en control persistente. Artículo de ataque de febrero de 2026, defensa (CAMS) de mayo de 2026.
Agentes de código IA: los atacantes van por la credencial, no por el modelo
Seis exploits de 2026 contra Codex, Claude Code, Copilot y Vertex AI esquivaron las defensas a nivel de modelo y alcanzaron el mismo objetivo: las credenciales de ejecución del agente. La causa raíz es una brecha de gobernanza de identidades, no un problema de prompt.
FragFuse: consultas fragmentadas que eluden el control de acceso de los agentes LLM
Un artículo de arXiv del 14 de junio de 2026 muestra que una solicitud prohibida puede dividirse en fragmentos inocuos, guardarse en la memoria a largo plazo del agente y recomponerse al recuperarla, eludiendo los controles de acceso en el 86,3 % de los casos.
DoS por extensión de razonamiento: cuando la barrera de seguridad de IA se vuelve la superficie de ataque
Un artículo de junio de 2026 muestra que un solo documento envenenado puede atrapar a las barreras de seguridad de IA basadas en razonamiento en bucles de reflexión interminables, ralentizando los flujos de agentes hasta 148x. El objetivo: la disponibilidad, no la integridad.
Checkpointers de LangGraph: de la inyección SQL al RCE en agentes autoalojados
Check Point Research encadenó una inyección SQL en el checkpointer de LangGraph con una deserialización msgpack insegura hasta lograr ejecución remota de código. Divulgado el 11 de junio de 2026; los tres CVE están corregidos.
Envenenamiento de terminación: atrapar a un agente LLM en bucles sin fin
Un artículo de arXiv de mayo de 2026 muestra que una inyección puede distorsionar el juicio de fin de tarea de un agente y provocar cómputo ilimitado. El framework LoopTrap reporta hasta 25x de amplificación.
Sistemas multiagente LLM entre dominios: siete retos de seguridad
Una Perspectiva publicada el 13 de junio de 2026 en npj Artificial Intelligence cartografía siete retos de seguridad que surgen cuando agentes LLM de distintas organizaciones colaboran sin un modelo de confianza común.
Flowise CVE-2026-41264: código pandas escrito por el LLM que llega a RCE
Una prompt injection en el agente CSV de Flowise lleva al modelo a generar Python que evade una lista negra de expresiones regulares y ejecuta comandos del SO. Divulgada el 15 de abril de 2026, corregida en 3.1.0.
CVE-2026-46519: cuando un servidor MCP filtra herramientas al mostrarlas pero no al ejecutarlas
mcp-server-kubernetes aplicaba sus controles de solo lectura y lista de permitidos únicamente en tools/list, nunca en tools/call. Cualquier cliente que supiera el nombre de una herramienta podía ejecutarla. Una lección clara sobre autorización en la capa de presentación frente a la de ejecución.
El DNS rebinding convierte los servidores MCP en localhost en superficie de ataque remota
Una oleada de divulgaciones coordinadas 2025–2026 alcanzó a todos los grandes SDK de MCP por una misma causa raíz: servidores HTTP en localhost que no validan la cabecera Host/Origin. La más reciente, CVE-2026-11624 en el MCP Toolbox de Google (13 de junio de 2026), se califica como Crítica 9,4.
El servidor MCP de Splunk registra tokens de autenticación en texto claro (CVE-2026-20205)
La app Splunk MCP Server escribía los tokens de sesión y de autorización de los usuarios en texto claro en el índice _internal — un fallo CWE-532 (secretos en los registros) que convierte el acceso a los logs en robo de tokens. Corregido en la v1.0.3.
TOCTOU en agentes de IA: violaciones de atomicidad entre observación y acción
Un viejo fallo de los sistemas operativos reaparece en los agentes: el mundo cambia entre el momento en que el agente mira y el momento en que actúa. Investigación de 2026 lo formaliza para agentes GUI, de navegador y multiagente.
ConVerse: cuando dos agentes conversan, el más fuerte filtra más
Un benchmark de conversaciones agente-a-agente halla que los ataques de privacidad tienen éxito hasta el 88 % de las veces y las brechas de seguridad hasta el 60 % — y que los modelos más capaces filtran más, no menos.
Blanqueo de causalidad: cuando una llamada de herramienta denegada igual filtra datos
Un artículo de abril de 2026 muestra que denegar la llamada de herramienta de un agente no termina el ataque: la propia denegación es un canal de información. El rastreo de taint plano no lo ve.
GitHub Action de Claude Code: cómo la herramienta Read filtró secretos de CI/CD
Microsoft Threat Intelligence descubrió que la herramienta Read de Claude Code Action eludía el saneamiento de entorno de Bash para leer /proc/self/environ y filtrar la ANTHROPIC_API_KEY del runner. Corregido en la v2.1.128.
Descomposición de contexto fracturado: jailbreaks por brechas de procedencia
Un artículo de arXiv del 8 de junio de 2026 formaliza la «brecha de procedencia» en agentes con herramientas: conducta dañina ensamblada con acciones inocuas repartidas en el tiempo, hasta +28,3 puntos de éxito.
Bypass de allowlist en Cursor: los built-ins del shell envenenan el entorno
CVE-2026-22708 permite que una inyección de prompt use built-ins de shell de confianza como export y typeset para envenenar variables de entorno en Cursor, convirtiendo un comando git o python aprobado en ejecución remota de código. Corregido en 2.3.
SABER: los agentes de código fallan en seguridad operacional aunque rechacen los prompts maliciosos
Un benchmark del 31 de mayo de 2026 evalúa a los agentes de código LLM por el estado final de un repositorio real, no por el rechazo del prompt. Incluso el mejor modelo deja una violación dañina en más de la mitad de las ejecuciones.
Ataques al flujo de control por memoria: cuando la memoria dirige las herramientas de un agente
Un artículo de marzo de 2026 muestra que la memoria envenenada de un agente no solo corrompe el contenido: secuestra el flujo de control de la selección de herramientas, forzando herramientas no deseadas y pasos omitidos en más del 90 % de los ensayos, entre tareas y mucho después de la inyección.
La herramienta shell de MS-Agent: una denylist regex convierte la inyección de prompt en RCE
CVE-2026-2256 permite que contenido malicioso induzca a MS-Agent (ModelScope) a ejecutar comandos del sistema. La causa raíz es un antipatrón conocido: proteger una herramienta shell con una denylist regex en lugar de una allowlist.
OWASP ASI02: cuando un agente vuelve sus propias herramientas contra usted
Tool Misuse & Exploitation es el riesgo n.º 2 del Top 10 de OWASP para Aplicaciones Agénticas 2026. El peligro no es que un agente gane nuevas herramientas, sino que abuse de las que ya tiene: sobreprivilegio, descriptores envenenados, encadenamiento inseguro.
Servidores MCP remotos: 40 % sin autenticación, OAuth roto en el resto
Un estudio de arXiv de mayo de 2026 escaneó 7973 servidores MCP remotos: el 40,55 % expone sus herramientas sin autenticación alguna, y los 119 servidores OAuth probados presentaban al menos un fallo — 9 CVE asignadas.
Cinco ataques a x402: cuando los agentes de IA pagan, las costuras entre capas gotean
Un artículo del 12 de mayo de 2026 rompe formalmente x402, el protocolo de pago agéntico basado en HTTP 402. Cinco ataques sobre liquidación, repetición, capa web y descubrimiento — un pago repetido produjo 248 concesiones en un endpoint en producción.
CVE-2026-45497: una inyección de comandos convierte a Microsoft 365 Copilot en una superficie de RCE
El 4 de junio de 2026 el MSRC publicó CVE-2026-45497, una inyección de comandos en Microsoft 365 Copilot calificada como ejecución remota de código, con un cambio de alcance que cruza la frontera del servicio. Corregida del lado del servidor.
Cuando un argumento de herramienta MCP se convierte en un intent de Android: los sinks de mobile-mcp
CVE-2026-35394 permite que una URL controlada por el modelo dispare intents de Android arbitrarios mediante la herramienta mobile_open_url de mobile-mcp. Junto a una CVE gemela de path traversal, revela un patrón: argumentos de herramientas MCP que llegan a sinks sin validación.
VIPER-MCP: 67 CVE por fallos de tipo taint en 40 000 servidores MCP
Un artículo de arXiv del 20 de mayo de 2026 auditó 39 884 repositorios de servidores MCP de código abierto, confirmó 106 zero-days de extremo a extremo y obtuvo 67 identificadores CVE. La historia es el patrón: entrada de agente no confiable que alcanza sinks de shell, red y archivos.
AIRQ evalúa 100 agentes de IA en producción: el 98 % acumula la tríada letal
El AI Risk Quadrant de Adversa AI (junio de 2026) puntúa 100 agentes comerciales por superficie de ataque, radio de impacto y defensas. Solo el 11 % está bien defendido; la ejecución de herramientas explica por sí sola el 76 % del radio de impacto.
Gusanos autopropagables de agentes y la defensa por reentrada temporal
Un artículo de mayo de 2026 formaliza cómo el estado persistente de un agente permite que una carga de inyección se reescriba en el contexto del LLM, se propague entre agentes sin clics, y propone RTW-A, una defensa probada por un teorema de no propagación.
Tool poisoning en 7 clientes MCP: una comparativa de postura de seguridad
Un estudio empírico de marzo de 2026 prueba cuatro ataques de tool poisoning contra Claude Desktop, Claude Code, Cursor, Cline, Continue, Gemini CLI y Langflow — y concluye que la mayor parte de la protección proviene del modelo, no del cliente.
Propagación de autorización: el hueco de seguridad de los agentes que la defensa anti-inyección no cerrará
Un artículo de Krti Tallam del 6 de mayo de 2026 describe un problema propio de los sistemas multiagente —la propagación de autorización— que persiste incluso con una defensa perfecta contra la inyección: delegación transitiva, inferencia por agregación, validez temporal.
ClawTrojan: la inyección almacenada se convierte en una puerta trasera persistente del agente
Un paper de arXiv del 29 de mayo de 2026 muestra que una inyección oculta en un archivo puede ser almacenada por un agente local y ejecutada después — 95,5 % de éxito frente a casi cero de la inyección de un solo turno.
La system card de Opus 4.8 cuantifica la inyección de prompts en el agente de navegador: 31,5 %
La system card de Claude Opus 4.8 (28 de mayo de 2026) reporta una tasa de secuestro pre-salvaguardas del 31,5 % para su agente de navegador — la única métrica de inyección de prompts publicada por un laboratorio frontera esta primavera.
CVE-2026-30615: una inyección de prompt reescribe la config MCP de Windsurf en RCE
El aviso de OX Security del 15 de abril de 2026 muestra cómo contenido controlado por el atacante puede hacer que el IDE Windsurf registre un servidor MCP STDIO malicioso y ejecute comandos — sin un solo clic. La clase abarca varios agentes de código, pero el CVE es para Windsurf.
Agentes frágiles: la inyección indirecta sobrevive a las llamadas a herramientas multipaso
Un artículo del 4 de abril de 2026 prueba 6 defensas frente a 4 vectores de inyección indirecta en 9 modelos, en agentes multipaso — las inyecciones avanzadas eluden casi todas, y algunas mitigaciones superficiales resultan contraproducentes.
Langroid SQLChatAgent: de la inyección prompt-a-SQL a la RCE (CVE-2026-25879)
Divulgada el 1 de junio de 2026, la CVE-2026-25879 (CVSS 9.8) permite que un agente SQL víctima de inyección de prompt ejecute primitivas como COPY FROM PROGRAM, convirtiendo un chatbot en ejecución de código en el host de la base de datos.
Sampling de MCP: cómo un servidor malicioso abusa del canal LLM inverso
La función de sampling de MCP permite que un servidor pida una compleción al modelo del cliente. Unit 42 mostró (dic. 2025) cómo un servidor malicioso la convierte en llamadas a herramientas encubiertas, secuestro de conversación y robo de cómputo.
Bastaba con pedirlo: el asistente de IA de Meta y los secuestros de Instagram
El fin de semana del 30–31 de mayo de 2026, los atacantes secuestraron cuentas de Instagram de alto perfil simplemente pidiéndole al bot de soporte de IA de Meta que vinculara un nuevo correo. Sin inyección de prompt: solo agencia excesiva.
Deje de obsesionarse con el prompt: secuestrar el razonamiento y la memoria de un agente
Un artículo de abril de 2026, JailAgent, lleva a un agente a llamadas de herramienta maliciosas sin tocar el prompt del usuario, perturbando su traza de razonamiento y su recuperación de memoria. El prompt nunca fue toda la superficie de ataque.
TrustFall: los ajustes MCP del proyecto convierten el clic de confianza en RCE
TrustFall (Adversa AI, 7 de mayo de 2026) demuestra que cuatro CLI de codificación agéntica arrancan automáticamente los servidores MCP definidos por el proyecto en cuanto el desarrollador acepta el aviso de confianza de la carpeta — una pulsación de tecla en el equipo, cero clics en CI.
CrewAI: un repliegue silencioso del sandbox convierte la inyección de prompts en RCE (VU#221883)
Cuatro fallos de CrewAI permiten encadenar inyección de prompts, RCE, SSRF y lectura de archivos mediante un Code Interpreter que abandona Docker en silencio. La actualización del CERT/CC del 20 de mayo de 2026 confirma la corrección completa.
Flowise CVE-2026-40933: importar un chatflow compartido basta para una RCE
El análisis de Obsidian Security del 28 de mayo de 2026 muestra cómo el nodo Custom MCP de Flowise convierte una configuración MCP stdio en ejecución de código en el servidor — y cómo el simple hecho de importar un chatflow compartido puede activarla, sin guardar ni ejecutar.
Ataques de agotamiento de tokens: denegación de servicio económica vía cadenas de herramientas de agentes
Dos artículos de 2026 muestran que una herramienta o skill maliciosa puede arrastrar a un agente LLM a largos bucles de llamadas a herramientas, multiplicando el coste en tokens de 6 a 658× mientras devuelve la respuesta correcta — una variante sigilosa del Unbounded Consumption de OWASP.
SymJack: una copia de archivo aprobada se convierte en RCE en seis agentes de codificación IA
Adversa AI publicó el 26 de mayo de 2026 un patrón de secuestro por enlace simbólico que transforma una orden de shell aparentemente inocua en sobrescritura de la configuración y RCE en el host, en Claude Code, Cursor, Gemini, Antigravity, Copilot, Grok Build y Codex CLI.
Blindfold: jailbreaks a nivel de acción que burlan las defensas semánticas de los LLM embebidos
Un artículo de SenSys '26 (11–14 de mayo de 2026) presenta Blindfold, un marco automatizado que jailbreakea LLM embebidos descomponiendo un objetivo dañino en acciones individualmente inocuas — hasta un 53 % más de éxito de ataque sobre un brazo robótico 6-DoF real.
MemMorph: secuestro de la selección de herramientas mediante envenenamiento fluido de la memoria
Un artículo de arXiv del 24 de mayo de 2026 (NTU Singapur) muestra que tres entradas plausibles en la memoria bastan para guiar a un agente hacia la herramienta elegida por el atacante con un 85,9 % de éxito — y sobreviven a tres defensas estándar.
El harness del agente es tu frontera real de privilegios — y la mayoría de los equipos la dibuja en el lugar equivocado
Un análisis de Pillar Security del 26 de mayo de 2026 sostiene que el harness — Claude Code, Cursor, Codex — guarda los secretos, herramientas y hooks que el agente nunca ve. Los bugs recientes de harness y la CVE-2026-22708 lo demuestran.
Microsoft Copilot Cowork: skills envenenadas exfiltran archivos de M365 sin aprobación
Divulgación de PromptArmor del 26 de mayo de 2026: cinco líneas de inyección de prompt dentro de una skill de Copilot Cowork bastan para filtrar documentos de SharePoint y OneDrive vía mensajes de Teams auto-aprobados.
Contaminación temporal de memoria: deriva longitudinal de seguridad en agentes LLM
Tres preprints de arXiv de abril y mayo de 2026 convergen en un modo de fallo complementario al envenenamiento de memoria — los agentes con memoria derivan hacia lo inseguro a medida que se acumula contexto benigno, con los resúmenes comprimidos actuando como canal de blanqueo.
Las redes de agentes fallan de otra forma: el red-team de Microsoft, más RAMPART y Clarity
Microsoft Research red-teameó una plataforma interna con más de 100 agentes siempre activos. Cuatro patrones de ataque — propagación, amplificación, captura de confianza, cadenas de proxy — solo aparecen a nivel de red. RAMPART y Clarity, liberados el 20 de mayo de 2026, son la respuesta.
Antigravity find_by_name: cuando una llamada a herramienta nativa salta por encima del Secure Mode
El 20 de abril de 2026, Pillar Security divulgó que un único parámetro sin sanear de la herramienta find_by_name de Google Antigravity convertía la búsqueda de archivos en ejecución de código arbitrario — y eludía el sandbox más estricto del IDE.
ClaudeBleed: cuando un agente de navegador confía en la extensión equivocada
LayerX reveló ClaudeBleed el 6 de mayo de 2026: un fallo de frontera de confianza permitía que cualquier extensión de Chrome controlara Claude in Chrome y exfiltrara datos de Gmail, Drive y GitHub. El primer parche fue eludido en pocas horas.
Transporte STDIO de MCP: la decisión de diseño que se convirtió en 11 CVE y 200 000 agentes expuestos
El 16 de abril de 2026, OX Security reveló que el transporte STDIO del MCP de Anthropic ejecuta cualquier comando que reciba. Anthropic lo calificó como «por diseño». La cascada ha producido once CVE en seis semanas.
Cuando los prompts se vuelven shells: de la inyección al RCE en frameworks de agentes
Dos CVE en Microsoft Semantic Kernel y cuatro en CrewAI — todos divulgados a comienzos de 2026 — convierten un único prompt inyectado en ejecución remota de código sobre el host. El patrón es estructural, no accidental.
Envenenar una vez, explotar para siempre: envenenamiento persistente de la memoria de los agentes LLM (OWASP ASI06)
Un paper de arXiv de abril de 2026 sobre memory poisoning entre sitios y un post de OWASP del 13 de mayo de 2026 sobre el hallazgo MemoryTrap de Cisco contra Claude Code convergen en la misma lección: la memoria del agente es una frontera de confianza.
Asegurar los agentes IA como sistemas operativos: el plano del CISPA
Un artículo del CISPA publicado el 14 de mayo de 2026 traslada décadas de seguridad de SO a los agentes LLM. Probado en cuatro agentes tipo OpenClaw, dos clases de debilidades — exfiltración entre usuarios y salida de red no autorizada — fallan en todos los sistemas.
La Tríada Letal: cuando un agente lee datos privados, contenido no confiable y puede llamar fuera
El marco de Simon Willison para el único error arquitectónico que convirtió la oleada de exfiltraciones de agentes de IA de 2026 en una clase de vulnerabilidad, no en una coincidencia.
Vulnerabilidades de back-end en MCP: fallos clásicos reaparecen en los puentes IA-bases de datos
La investigación de Akamai del 12 de mayo de 2026 detalla una inyección SQL (CVE-2025-66335), falta de autenticación y entradas sin sanear en tres servidores MCP — Apache Doris, Apache Pinot y Alibaba RDS. El patrón, más que los bugs, es la enseñanza.
Semantic Kernel: cuando un prompt se convierte en shell (CVE-2026-25592, CVE-2026-26030)
Microsoft divulgó el 7 de mayo de 2026 dos vulnerabilidades críticas en Semantic Kernel que convierten un único prompt inyectado en ejecución de código a nivel de host. La causa raíz es arquitectónica: el registro de herramientas y eval() se trataron como comodidades, no como fronteras de seguridad.
Trust No Tool: envenenamiento cognitivo de agentes LLM vía la retroalimentación de herramientas
Un artículo de arXiv del 17 de mayo de 2026 introduce el «envenenamiento cognitivo»: una herramienta maliciosa que se gana la confianza del agente durante muchas interacciones benignas y solo arma la acción final. El objetivo de defensa se desplaza del prompt a la trayectoria.
CVE-2026-35435: los agentes M365 publicados desde Azure AI Foundry confiaron en quien no debían
Divulgada el 7 de mayo de 2026 (CVSS 8.6), una falla de control de acceso en Azure AI Foundry permite a atacantes no autorizados elevar privilegios a través de los agentes publicados en M365. Microsoft reporta explotación activa; hay mitigaciones disponibles antes del parche.
Azure SRE Agent: una verificación de token multi-tenant permitía que extraños observaran sus incidentes (CVE-2026-32173)
Divulgada el 20 de abril de 2026, una mala configuración de app registration en Entra ID sobre el WebSocket /agentHub de Azure SRE Agent permitía a cualquier tenant conectarse y escuchar cada prompt, razonamiento, comando CLI y credencial — en silencio.
Claw Chain: cuatro CVE de OpenClaw que convierten al agente de IA en las manos del atacante
Divulgada el 15 de mayo de 2026, la Claw Chain de Cyera Research encadena cuatro fallos parcheados de OpenClaw — escape de sandbox, fuga de variables de entorno, elevación de privilegios MCP, lectura por symlink — en una toma de control completa del host vía el propio agente.
Comment and Control: un mismo patrón de inyección de prompt, tres agentes filtrando secretos de GitHub Actions
Divulgada el 15 de abril de 2026, la técnica Comment and Control convierte títulos de PR, comentarios de issues y comentarios HTML en canales de exfiltración de credenciales en Claude Code, Gemini CLI y GitHub Copilot Agent.
PraisonAI CVE-2026-44338: un servidor de agentes sin autenticación, explotado en 3h44
Divulgada el 11 de mayo de 2026, CVE-2026-44338 entrega PraisonAI con la autenticación desactivada en duro en su antiguo servidor API. Un escáner CVE-Detector sondeó el endpoint menos de cuatro horas después.
Secuestro de agentes en localhost: ataques WebSocket cross-origin a agentes de código IA
CVE-2026-44211 (CVSS 9.7), divulgada el 7 de mayo de 2026, demuestra cómo una sola visita a una página maliciosa puede secuestrar un agente de código IA que se ejecuta en el portátil de una persona desarrolladora. La clase de ataque es genérica — y arquitectónica.
Prompts como shells: cuando la inyección de prompt se convierte en RCE en frameworks de agentes
Dos CVE divulgadas en Microsoft Semantic Kernel el 7 de mayo de 2026 (CVE-2026-25592, CVE-2026-26030) muestran cómo un único prompt inyectado puede pasar del texto a la ejecución remota de código en el host del agente.