SUPPLY CHAIN
(43)43 hack(s).
Plantillas de chat envenenadas: puertas traseras en inferencia en modelos GGUF
Investigaciones de principios de 2026 muestran que una plantilla de chat Jinja2 envenenada, incrustada en un modelo GGUF, puede inyectar instrucciones ocultas en tiempo de inferencia — superando los escaneos habituales de los hubs de modelos mientras los pesos siguen limpios.
Escáneres de skills evadidos: los límites del análisis estático
Trail of Bits coló cuatro skills maliciosas ante ClawHub, el escáner de Cisco y skills.sh en menos de una hora cada una. La lección: un escáner estático no puede ser la frontera de confianza.
Phantom squatting: registrar los dominios web que los LLM alucinan
A finales de junio de 2026, la Unit 42 de Palo Alto bautizó el «phantom squatting»: los atacantes registran los dominios inexistentes que los modelos inventan de forma fiable, heredando la confianza depositada en los enlaces sugeridos por la IA.
La brecha de parches del open source en la era de la IA: el hallazgo supera a la corrección
La IA ya descubre vulnerabilidades de código abierto mucho más rápido de lo que los mantenedores pueden corregirlas. Un análisis de julio de 2026 sitúa la relación descubrimiento/corrección en torno a 16,5 a 1, ampliando la ventana que deben gestionar los defensores.
HalluSquatting: armar nombres alucinados para sembrar botnets de agentes
Un atacante puede registrar por adelantado los nombres de repositorios y skills que los agentes de código alucinan de forma predecible, convirtiendo un simple «clona esto» en ejecución remota de código a gran escala.
Uno de cada tres servidores MCP es una puerta SSRF a los metadatos de tu nube
Dos análisis de ecosistema publicados en 2026 encuentran server-side request forgery en buena parte de los servidores MCP públicos — y muestran que las estrellas, la actividad y las insignias de «verificado» no predicen cuáles son seguros.
PhantomSkill: disfrazar una carga maliciosa como un fallo corriente
Un artículo de junio de 2026 muestra que un atacante puede camuflar la carga maliciosa de un skill de agente como una vulnerabilidad activable en un script auxiliar — superando la revisión de SKILL.md y reduciendo la detección de tipo malware, sin perder funcionalidad.
ShareLock: el envenenamiento por umbral dispersa un payload MCP entre varias herramientas
Un artículo de junio de 2026 divide una instrucción MCP maliciosa en fragmentos de apariencia inofensiva repartidos por varias descripciones de herramientas, burlando los escáneres por herramienta con más del 90 % de éxito.
Los skills de agentes tienen dependencias ocultas: el riesgo transitivo en las cadenas de suministro
Un estudio de julio de 2026 sobre 1,43 millones de skills de agentes revela que la mayor parte del riesgo de seguridad se oculta en dependencias transitivas que un revisor nunca ve al leer solo el archivo del skill.
Los escáneres estáticos no ven el malware de skills reempaquetado — la auditoría en ejecución sí
Un estudio de julio de 2026 muestra que el reempaquetado adaptativo evade más del 90 % de los escáneres de skills de agente, y sostiene que es la auditoría de comportamiento en ejecución, no la inspección de apariencia, la que realmente detecta el malware.
Claude Code Action: confiar ciegamente en los «bots» abrió una vía de cadena de suministro
Un investigador demostró que Claude Code GitHub Action confiaba en cualquier actor terminado en [bot], permitiendo que una GitHub App autorregistrada activara flujos en modo agente en repos públicos y encadenara inyección de prompts con robo de token OIDC. Corregido en v1.0.94.
Abuso de LLMO: envenenar la documentación de paquetes para engañar a los agentes de código IA
El informe PromptMink de ReversingLabs (junio de 2026) muestra a un grupo norcoreano redactando la documentación de paquetes npm para parecer creíble ante los agentes de código LLM, de modo que el agente recomiende e instale una dependencia maliciosa.
Cuando una skill de agente envenenada se esconde en las falsas alarmas
Una nueva investigación muestra un ataque de envenenamiento de skills «consciente de la posición» que funde instrucciones maliciosas en la prosa habitual de una skill y elude a los escáneres LLM que ya alertan en falso sobre la mayoría de las skills limpias.
SkillMutator: el ataque oculto entre el texto y el código de una skill de agente
Un benchmark de junio de 2026 demuestra que una skill de agente puede ser maliciosa en la interacción entre sus instrucciones en lenguaje natural y sus scripts — superando tanto la detección de inyección de prompts como la revisión de código, mientras induce al agente a exfiltrar archivos.
Una falsa extensión de Perplexity convierte una marca de IA en un espía de búsquedas
Microsoft detectó una extensión de Chromium que suplantaba a Perplexity y redirigía cada pulsación de la barra de direcciones al servidor de un atacante antes de mostrar los resultados reales — sin fallo del navegador, solo confianza mal usada y permisos de Manifest V3.
La herramienta que aprobaste no es la que se ejecuta: el rug-pull de descripciones MCP
La investigación de Microsoft del 30 de junio de 2026 muestra que una herramienta MCP aprobada puede redescribirse en silencio tras la revisión. Como los agentes releen las descripciones en cada turno, una herramienta limpia se convierte en canal de exfiltración, sin ninguna alerta.
Bucket squatting en Vertex AI: la RCE cross-tenant «Pickle in the Middle»
Unit 42 reveló (16 de junio de 2026) un fallo en el SDK de Python de Vertex AI: un nombre de bucket de staging predecible y la falta de verificación de propiedad permitían secuestrar la subida de un modelo y lograr ejecución de código cross-tenant. Corregido en v1.148.0.
Las skills de agente son una cadena de suministro: malware e inyección en SKILL.md
Una auditoría de febrero de 2026 de ~4.000 skills de agente encontró un 13,4 % de casos críticos y 76 cargas maliciosas activas. SKILL.md ya es una supply chain — así se clasifica.
Toma del scope npm de Mastra: una cuenta de mantenedor inactiva envenena un framework de agentes de IA
El 17 de junio de 2026, una cuenta de colaborador olvidada republicó todo el scope npm @mastra — unos 142 paquetes — con una dependencia maliciosa que instala un ladrón de criptomonedas y un RAT. Una credencial caducada, no un zero-day.
Las chat templates son código: inyección Jinja2 (SSTI) en servidores de inferencia LLM
El boletín VU#915947 del CERT/CC (20 de abril de 2026) documenta CVE-2026-5760, una RCE CVSS 9.8 en SGLang: un archivo de modelo GGUF malicioso transporta una chat template Jinja2 que ejecuta Python en el servidor. La misma clase que Llama Drama y un fallo de vLLM anterior.
MalTool: cuando una IA escribe la herramienta maliciosa que instala tu agente
Unos investigadores sintetizaron 6.487 herramientas de agente maliciosas funcionales con un LLM de código. VirusTotal no detectó la mayoría. La lección: el escaneo por firmas es el control equivocado para la cadena de suministro de herramientas de agentes.
Secret Stealing: código de modelo manipulado exfiltra tus datos de fine-tuning
Un artículo del 30 de abril de 2026 muestra que el código de modelo alterado —no los pesos envenenados— puede robar claves de API y datos personales del fine-tuning local, con >98 % de recuperación, eludiendo DP-SGD y las auditorías.
LiteLLM con puerta trasera: cuando un escáner CI envenenado controla la pasarela LLM
En marzo de 2026, los atacantes robaron el token de publicación PyPI de LiteLLM al comprometer Trivy dentro de su pipeline CI, y luego publicaron dos versiones con puerta trasera. La cadena revela por qué la pasarela LLM es un objetivo prioritario.
Semantic Compliance Hijacking: skills de agente sin payload, invisibles a los escáneres
Un artículo de arXiv del 14 de mayo de 2026 muestra que un archivo de skill sin código ni intención maliciosa explícita puede llevar a un agente de código a escribir su propio malware en tiempo de ejecución — con una tasa de detección del 0,00 %.
HAMLOCK: una puerta trasera repartida entre el modelo y el chip
Un artículo de USENIX Security 2026, difundido el 15 de junio de 2026, divide una puerta trasera entre software y silicio: el modelo por sí solo nunca se equivoca, y los escáneres de software como Neural Cleanse o MNTD no detectan nada.
ktransformers: RCE no autenticada vía pickle sobre ZeroMQ (CVE-2026-26210)
Una RCE crítica en el motor de inferencia ktransformers expone un socket ZMQ en todas las interfaces y deserializa con pickle todo lo que recibe. Es el caso más reciente del patrón «ShadowMQ» copiado entre los stacks de inferencia de IA.
Enrutadores de API LLM maliciosos: el hombre en el medio sin vigilancia de los agentes
Un estudio de UC Santa Barbara (arXiv, 9 de abril de 2026) midió 428 enrutadores de API LLM de terceros: varios inyectaban código, robaban credenciales y vaciaron una cartera cripto, desde una frontera de confianza que los desarrolladores configuran voluntariamente.
MalSkillBench: no sabemos medir los detectores de skills maliciosos porque los datos de prueba están sesgados
Un artículo de junio de 2026 construye el primer benchmark con verificación en ejecución de skills de agente maliciosos —3.944 muestras en 108 celdas de ataque— y demuestra que el recall de un mismo detector puede variar 66 puntos según el conjunto de datos usado.
Cuando el #1 en tendencias es malware: el typosquat Open-OSS/privacy-filter en Hugging Face
El 7 de mayo de 2026, HiddenLayer halló Open-OSS/privacy-filter, un typosquat del modelo de OpenAI que llegó al #1 en tendencias de Hugging Face con ~244 000 descargas en 18 horas y entregaba un infostealer en Rust.
Más allá del tool poisoning: qué puede hacer realmente un servidor MCP remoto malicioso
Un estudio del 21 de mayo de 2026 cartografía toda la superficie de ataque de los servidores MCP remotos maliciosos en ChatGPT, Claude Desktop y Gemini CLI: el filtrado del host pasa del 95 % al 50 % ante la misma petición, y los ataques exitosos casi nunca se revelan.
RTK (CVE-2026-45792): filtros no confiables ocultan backdoors a la revisión por IA
Pillar Security divulgó el 20 de mayo de 2026 un fallo en RTK, un filtro de optimización de tokens para Claude Code: un .rtk/filters.toml provisto por el repositorio podía eliminar en silencio un backdoor de la salida de comandos antes de que el modelo la viera. El objetivo es la percepción del agente, no su ejecución.
Gusano Hades: configuración de agentes de código envenenada que se ejecuta al abrir el repo
El gusano Hades hace commit de archivos de configuración para Claude Code, Gemini, Cursor y VS Code que se ejecutan al iniciar la sesión o abrir la carpeta — convirtiendo un repo clonado en un ladrón de credenciales, sin ningún paso de instalación.
Inyección por config de Transformers: una RCE silenciosa que esquiva trust_remote_code
CVE-2026-4372, divulgada el 4 de junio de 2026, permite que un único campo de config.json ejecute código del atacante en una simple llamada from_pretrained() — esquivando trust_remote_code=False en Hugging Face Transformers.
Envenenamiento secuencial: repartir una puerta trasera entre las etapas del post-entrenamiento
Un artículo del 3 de junio de 2026 muestra que un veneno repartido entre datos de SFT y de preferencias — insignificante en cada etapa por separado — se combina en una puerta trasera funcional. Las auditorías por etapa crean una «ilusión del atacante único».
Back-Reveal: exfiltración de datos mediante las propias llamadas a herramientas de un agente comprometido
Un agente ajustado lleva un disparador oculto. Ante una señal inocua, lee tu memoria de sesión y la envía disfrazada de simple llamada de búsqueda — sin inyección, sin herramienta maliciosa. Artículo fechado el 7 de abril de 2026.
MetaBackdoor: un disparador de puerta trasera basado en la longitud, invisible en la entrada
Un artículo de mayo de 2026 de Microsoft y el Institute of Science Tokyo implanta una puerta trasera cuyo disparador es la longitud de la entrada, no su texto. El prompt parece limpio, los filtros de contenido no ven nada y bastan 90 ejemplos envenenados.
Los archivos GGUF son entrada no confiable: las RCE recurrentes del parser de llama.cpp
CVE-2026-33298 (marzo de 2026) y una divulgación en oss-sec del 15 de mayo de 2026 muestran que el parser GGUF de llama.cpp encadena corrupciones de heap por desbordamiento de enteros: cargar un modelo manipulado puede bastar para ejecutar código.
trust_remote_code=False no es una frontera: la RCE recurrente al cargar modelos en vLLM
CVE-2026-27893 (divulgada el 27 de marzo de 2026) es el tercer bypass de trust_remote_code en vLLM. Dos archivos de modelo fijan trust_remote_code=True, anulando en silencio la opción del operador y habilitando RCE desde un repositorio de modelo malicioso.
Inyección de AGENTS.md: una dependencia envenenada puede reescribir en silencio las órdenes de tu agente de código
Un informe del NVIDIA AI Red Team del 20 de abril de 2026 muestra que una dependencia maliciosa puede dejar un AGENTS.md falsificado durante el build, anular la instrucción del desarrollador y pedir a OpenAI Codex que oculte el cambio en la pull request.
Slopsquatting en 2026: 127 nombres de paquetes que los cinco LLM frontera alucinan de forma idéntica
Una replicación en arXiv del 16 de mayo de 2026 del estudio de slopsquatting de USENIX Security '25 muestra que las tasas de alucinación bajan en los modelos frontera — pero identifica 127 paquetes fantasma inventados de forma idéntica por todos los modelos probados, una superficie de ataque de supply chain independiente del modelo.
pgAdmin 4 incorpora un panel LLM y hereda un LFI+SSRF clásico (CVE-2026-7817)
pgAdmin 4 9.15 corrige un LFI y un SSRF autenticados en los nuevos endpoints de configuración de la API LLM. La clase de bug tiene cuarenta años; la superficie es nueva.
Disparadores ocultos en SKILL.md: ataques semánticos a la cadena de suministro de los registros de skills
Un artículo de la Universidad de Maryland del 12 de mayo de 2026 muestra que un añadido de 20 tokens en un archivo SKILL.md hace que el agente descubra y seleccione una skill adversaria en el 77–86 % de los ensayos, y elude los escaneos del registro hasta el 100 % de las veces.
Mini Shai-Hulud: el gusano de supply chain que apuntó al stack de tooling de IA
Divulgado entre el 11 y el 18 de mayo de 2026, el gusano Mini Shai-Hulud troyanizó más de 170 paquetes de npm y PyPI — incluidos Mistral AI, Guardrails AI y TanStack — y persiste dentro de Claude Code y VS Code.