sistema: OPERATIVO
← volver a todos los hacks
SUPPLY CHAIN MEDIUM NEW

Los skills de agentes tienen dependencias ocultas: el riesgo transitivo en las cadenas de suministro

Un estudio de julio de 2026 sobre 1,43 millones de skills de agentes revela que la mayor parte del riesgo de seguridad se oculta en dependencias transitivas que un revisor nunca ve al leer solo el archivo del skill.

2026-07-06 // 7 min affects: claude-skills, openai-codex-skills, llm-agents, mcp

¿Qué es esto?

Los skills de agentes — esos paquetes reutilizables al estilo SKILL.md que empaquetan conocimiento operativo para agentes LLM como Claude Code u OpenAI Codex — suelen revisarse como si fueran documentos autónomos y aislados. Un estudio publicado en arXiv el 1 de julio de 2026, Skills Are Not Islands: Measuring Dependency and Risk in Agent Skill Supply Chains (arXiv:2607.01136), sostiene que ese modelo mental es erróneo y cada vez más peligroso. Los skills son artefactos que portan dependencias: reutilizan otros skills, incorporan paquetes de software (npm, PyPI) e invocan servicios externos (servidores MCP). Los autores capturaron una instantánea de un registro público de skills el 6 de junio de 2026 — que listaba 1 640 440 skills — y analizaron los 1 434 046 que pudieron descargar (alrededor del 87,4 % del listado), un corpus que se había multiplicado por nueve aproximadamente en tres meses.

Cómo funciona

El artículo construye una herramienta que reconstruye el grafo de dependencias completo de un skill a partir de las instrucciones de instalación y uso en lenguaje natural que contiene, generando una «lista de materiales» (bill of materials) para cada skill. Aplicada al corpus, revela que la superficie declarada de un skill oculta otra mucho mayor.

Las dependencias directas son frecuentes pero no cuentan toda la historia: alrededor del 8,9 % de los skills dependen directamente de otro skill, el 15,5 % de un paquete y el 22,3 % de un servicio externo. El problema es la amplificación. Como los skills reutilizan otros skills de forma recursiva, un único skill raíz puede heredar un inventario enorme que nunca nombra. Los autores miden ratios de amplificación transitiva/directa que alcanzan un máximo de aproximadamente 979× en total y 1754× para paquetes; un skill de tipo orquestador que declara solo tres dependencias de skills termina importando 1938 componentes. La reutilización también está muy concentrada — un núcleo estrecho de skills y paquetes sirve de base a todo lo demás, con una desigualdad (índice de Gini) aún mayor que en el ecosistema npm — de modo que un puñado de nodos son verdaderos puntos únicos de fallo. Casi un tercio de los skills con dependencias se encuentran en ciclos o agrupaciones (clusters) de dependencias, donde una instrucción arriesgada en un miembro se propaga a todo skill que toque el clúster.

Por qué importa

La consecuencia de seguridad es que leer un documento de skill no basta. Los autores informan de que entre el 60 y el 78 % de las señales relevantes para la seguridad — ejecución de carga remota, patrones de código peligrosos, texto de inyección de prompt, comportamientos de exfiltración de credenciales y persistencia — se heredan únicamente a través de dependencias transitivas, invisibles para quien solo inspecciona el skill raíz. Para un paquete muy reutilizado, la proporción exclusivamente transitiva llega al 98 %, y para los servicios MCP señalados como vulnerables alcanza el 93 %. En términos concretos: los agentes se ejecutan con privilegios reales (E/S de archivos, shell, red), los skills se instalan con poca revisión obligatoria y el código realmente arriesgado suele residir a dos o tres saltos del archivo que un humano aprobó.

Se trata de un estudio de medición, no del reporte de un nuevo exploit, y los autores tienen cuidado de calificar sus patrones como «señales de auditoría» en lugar de vulnerabilidades confirmadas. Pero no es puramente teórico: al mapear el grafo encontraron copias de skills maliciosos ya reportados que persistían en repositorios aguas abajo, y las notificaron a los desarrolladores correspondientes.

Defensas

La lección central es tratar los skills como cualquier otra cadena de suministro de software y resolver todo el grafo antes de confiar en la raíz.

Resolver las dependencias antes de la revisión, no solo el archivo del skill. Cualquier verificación — humana o automatizada — que se detenga en el SKILL.md raíz pasará por alto la mayor parte del riesgo. Despliegue e inspeccione de forma transitiva los enlaces skill-a-skill, de paquetes y de servicios.

Adoptar manifiestos de dependencias tipados. Los autores recomiendan distinguir explícitamente las dependencias de skills, paquetes y servicios, cada una con su origen y versión, para que lo que un skill realmente incorpora sea declarable y auditable en lugar de quedar enterrado en la prosa.

Fijar versiones y mantener lockfiles. Buena parte del riesgo heredado se remonta a instrucciones de instalación sin fijación de versión. Registros tipo lockfile que fijan versiones, repositorios de origen y rutas permiten a los usuarios aguas abajo reproducir y auditar el grafo exacto que están ejecutando.

Ejecutar un comando de auditoría de dependencias. Por analogía con npm audit, los gestores de paquetes de skills y los registros deberían resolver el grafo completo y señalar los skills conocidos como maliciosos, los paquetes vulnerables y los servicios MCP de riesgo, con la ruta de evidencia — incluidas las dependencias alcanzadas solo de forma transitiva.

Gestionar los clústeres como objetos de primer nivel. Como los clústeres de skills fuertemente acoplados comparten radio de impacto, trate la pertenencia a un clúster como una unidad de gobernanza y verifique compatibilidad y procedencia en el momento de la instalación.

Estado

AspectoDetalle
FuenteSkills Are Not Islands (arXiv:2607.01136), enviado el 1 de julio de 2026
ClaseMedición de cadena de suministro de ecosistemas de skills de agentes — riesgo de dependencias transitivas
Corpus1 434 046 skills (~87,4 % de una instantánea de registro de 1 640 440 skills, 6 de junio de 2026)
Hallazgo clave60–78 % de las señales relevantes para la seguridad heredadas solo vía dependencias transitivas
Trabajo relacionadoEnvenenamiento de la cadena de suministro de ecosistemas de skills de agentes de código (arXiv:2604.03081)
NaturalezaResultado de investigación/medición — sin CVE; señales de auditoría, no explotación confirmada en el mundo real de cada caso señalado

Sources