Los escáneres estáticos no ven el malware de skills reempaquetado — la auditoría en ejecución sí
Un estudio de julio de 2026 muestra que el reempaquetado adaptativo evade más del 90 % de los escáneres de skills de agente, y sostiene que es la auditoría de comportamiento en ejecución, no la inspección de apariencia, la que realmente detecta el malware.
¿Qué es esto?
Los agentes de código basados en LLM instalan cada vez más skills de agente de terceros —paquetes reutilizables que empaquetan conocimiento operativo— desde marketplaces públicos. Esos skills se ejecutan con los propios privilegios del agente: acceso a archivos, shell y red. Eso convierte a un skill malicioso en un problema de cadena de suministro, capaz de robar credenciales, exfiltrar código fuente o instalar una puerta trasera. La defensa actual se apoya en un escáner estático de skills: una herramienta que lee el skill antes de ejecutarlo y marca patrones peligrosos, ya sea por coincidencia de patrones o pidiendo a un LLM que juzgue el texto.
Un artículo publicado en arXiv el 2 de julio de 2026, Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware (arXiv:2607.02357), pone a prueba si esa defensa se sostiene. Su respuesta: la inspección de apariencia no basta —un atacante que conserva el comportamiento malicioso pero cambia la apariencia del payload pasa por casi todos los escáneres— y propone trasladar la detección de cómo se ve un skill a lo que hace cuando se ejecuta.
Cómo funciona
El estudio plantea el problema como un juego adversarial: el escáner del defensor mueve primero, el atacante se adapta después. Construye un marco de transformación que preserva el payload (los autores lo llaman SkillCloak) que deja intacta la semántica del ataque mientras reescribe su forma visible, con dos ideas complementarias.
La primera es la ofuscación estructural: los indicadores visibles de un payload se reescriben en formas semánticamente equivalentes que ya no coinciden con las firmas esperadas del escáner, sin cambiar lo que finalmente hace el skill. La segunda, más eficaz, es el empaquetado autoextraíble: los componentes maliciosos se ocultan de la vista en el momento de la instalación que inspecciona un escáner, y solo se reconstruyen durante la ejecución del agente. Como el escáner nunca ve el payload real, no tiene nada que marcar.
Evaluada sobre ocho escáneres y 1.613 skills maliciosos observados en el mundo real, la estrategia de empaquetado evadió todos los escáneres en más del 90 %, y la estrategia de ofuscación evadió más del 80 % de la mayoría de los escáneres estáticos —alcanzando el 96 % contra un escáner híbrido—. La lección que extraen los autores es estructural, no anecdótica: cualquier defensa que razone sobre la apariencia de un skill en el momento de la instalación inspecciona el objeto equivocado, porque la apariencia es precisamente lo que un atacante adaptativo puede cambiar a bajo costo. Esto coincide con trabajos de junio de 2026 sobre inyección de skills indetectable y sensible a la posición (arXiv:2606.07943), que hallaron de forma independiente que la revisión en la instalación puede esquivarse preservando el comportamiento.
El artículo no publica un kit de ataque operativo como un arma; usa el estudio de evasión para justificar una defensa, que se describe a continuación.
Por qué importa
El resultado importa porque debilita un control en el que muchos equipos se apoyan hoy. Si su pipeline condiciona la instalación de un skill a un escaneo estático —reglas de patrones o un juez LLM que lee el SKILL.md y sus archivos—, este trabajo indica que un atacante decidido puede franquear esa barrera entregando el mismo ladrón de credenciales o la misma rutina de exfiltración. Y la población expuesta es amplia y creciente: los skills de agente se ejecutan con privilegios reales, se instalan con poca revisión obligatoria y los registros públicos han crecido con rapidez, de modo que el número de skills que un escáner tendría que verificar honestamente es enorme. Una evasión que funciona en más del 90 % no es un caso límite; es el resultado esperado frente a un adversario adaptativo.
Se trata de un estudio de medición y defensa, no del informe de una brecha concreta, y no lleva ningún CVE asociado. Pero se basa en muestras maliciosas reales, no sintéticas, lo que hace difíciles de descartar sus cifras de evasión.
Defensas
La recomendación central del artículo es dejar de confiar en la apariencia y empezar a observar el comportamiento.
Auditar el comportamiento en ejecución, no el texto en la instalación. Los autores proponen un auditor centrado en el comportamiento (SkillDetonate) que ejecuta un skill dentro de un sandbox y busca efectos maliciosos en la frontera del sistema operativo —qué archivos, procesos y operaciones de red toca realmente el skill— en lugar de juzgar el aspecto de su código fuente. Sobre el mismo corpus, este enfoque detectó el 97 % de los ataques con un 2 % de falsos positivos, y sostuvo un 87 % de detección en skills maliciosos reales.
Rastrear los flujos de datos sensibles con análisis de contaminación. Un rastreo de contaminación basado en marcadores sigue los datos sensibles a través del contexto del agente, los archivos, los procesos y las llamadas de red, de modo que un intento de exfiltración se detecta por el flujo que crea, incluso cuando el código que lo realiza estaba oculto hasta la ejecución.
Observar lo que la ejecución materializa. Como el empaquetado autoextraíble solo revela el payload en tiempo de ejecución, el defensor necesita capturar las instrucciones que aparecen durante la ejecución —lo que el artículo llama revelación de clausura bajo demanda— en lugar de solo los bytes estáticos presentes en la instalación.
Mantener el escaneo estático, pero solo como una capa. Los escáneres estáticos aún atrapan a bajo costo los skills poco sofisticados; el fallo es confiar solo en ellos. Combínelos con detonación en sandbox en tiempo de ejecución y ejecución con mínimo privilegio, para que un skill que escape al lector todavía deba sobrevivir a ser observado mientras se ejecuta.
Restringir el privilegio sea cual sea el veredicto. Ejecute los skills con la mínima autoridad de archivos, shell y red que necesiten. La auditoría en ejecución aumenta las probabilidades de atrapar un skill malicioso; el mínimo privilegio limita el daño de uno que se escape.
Estado
| Aspecto | Detalle |
|---|---|
| Fuente | Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware (arXiv:2607.02357), enviado el 2 de julio de 2026 |
| Clase | Seguridad de la cadena de suministro de marketplaces de skills — evasión de escáner y detección en ejecución |
| Resultado de evasión | El empaquetado autoextraíble evadió los 8 escáneres probados a >90 %; la ofuscación >80 % en la mayoría, hasta 96 % en un escáner híbrido (1.613 skills maliciosos reales) |
| Resultado de detección | Auditoría de comportamiento en ejecución: 97 % de detección con 2 % de falsos positivos; 87 % en skills maliciosos reales |
| Trabajos relacionados | Inyección de skills indetectable y sensible a la posición (arXiv:2606.07943) |
| Naturaleza | Resultado de investigación — sin CVE; estudio de evasión adaptativa que motiva una defensa en ejecución |