sistema: OPERATIVO
← volver a todos los hacks
AGENTS MEDIUM NEW

Cuando los agentes «computer-use» pulsan píxeles caducados: la carrera captura-acción

Una captura de pantalla es una comprobación; un clic es un uso. Si la pantalla cambia entremedias, el agente actúa sobre píxeles que ya no existen — un TOCTOU clásico convertido en exploit real.

2026-07-08 // 6 min affects: computer-use-agents, claude-computer-use, chatgpt-operator

¿Qué es esto?

El 25 de junio de 2026, el investigador de seguridad Johann Rehberger (Embrace The Red) publicó Computer-Use and TOCTOU: What You Click Is Not What You Get, un análisis de una clase de condiciones de carrera que afecta a todo agente que maneja una pantalla mirándola. La entrada reproduce y amplía un hallazgo anterior: en 2025, Jun Kokatsu reveló que OpenAI Operator podía ser inducido a pulsar sobre un origen arbitrario explotando el retardo entre lo que el agente ve y lo que hace (advisory de Google security-research).

El fallo de fondo es antiguo. TOCTOU — time-of-check to time-of-use (CWE-367) — describe cualquier sistema que valida una condición y luego actúa como si nada hubiera cambiado en el intervalo. Los sistemas operativos llevan décadas combatiéndolo. Los agentes «computer-use» lo reintroducen en un lugar nuevo: los píxeles de la pantalla.

Cómo funciona

Un agente computer-use opera en bucle: toma una captura de pantalla, razona sobre lo que ve y luego emite una acción — pulsar en estas coordenadas, escribir este texto. El razonamiento es la comprobación; el clic es el uso. Pero la inferencia del modelo tarda varios segundos, y la pantalla puede cambiar durante esa ventana. Cuando lo hace, la acción aterriza sobre lo que ahora está en esas coordenadas, no sobre lo que el agente creía ver.

Rehberger confirmó primero el efecto con una página trivial: un botón OKAY que se sustituye por otro botón tras dos segundos. Claude Computer-Use pulsó igualmente, de forma fiable. Después construyó una cadena realmente dañina. Outlook (como otros clientes de correo) admite un enlace profundo que abre un correo totalmente predactado a partir de una sola URL — destinatario, asunto y cuerpo ya rellenados, dejando solo pulsar Enviar. La página de phishing del atacante muestra un botón inocuo «Haga clic aquí para continuar» situado en las coordenadas exactas donde aparecerá el botón Enviar de Outlook una vez cargado el borrador. Al agente, al que se le pide pulsar Continuar, pulsa en realidad Enviar en un correo redactado por el atacante.

Un detalle práctico hace la carrera fiable en vez de fortuita: el atacante necesita que la interfaz objetivo termine de cargarse durante el intervalo de razonamiento. La prueba de concepto de Rehberger empleaba una instrucción de inyección que pedía al agente calcular primero 1+1 mediante un comando de shell — una demora deliberada que aporta los cuatro o cinco segundos que Outlook necesita para renderizarse antes del clic. Dicho de otro modo, la ventana temporal puede ser ensanchada por el atacante, no solo esperada.

Por qué importa

Se trata de un problema de diputado confuso a nivel de coordenadas: la autoridad del agente es real, pero el objetivo de su acción ha sido sustituido en silencio. Como el clic es una acción genuina y modificadora de estado — enviar un mensaje, confirmar un pago, cambiar un ajuste — una comprobación de seguridad ejecutada a posteriori llega ya demasiado tarde. El mismo mecanismo produce además simples accidentes, no solo ataques: cualquier agente que actúa sobre un fotograma caducado puede operar sobre el objeto equivocado en cuanto una página se recompone, surge un cuadro de diálogo o un contenido carga con retraso.

Esto generaliza la clase más amplia del TOCTOU en agentes hasta el píxel. Todo lo que percibe el mundo, se detiene a pensar y luego actúa sobre la percepción anterior queda expuesto — los agentes GUI en primer lugar, pero el patrón se repite en agentes de navegación y con herramientas.

Defensas

La corrección es tan antigua como el fallo: volver a comprobar en el momento del uso. Capturar la región de pantalla relevante al iniciar el razonamiento y, antes de ejecutar la acción, verificar que esa región no ha cambiado de forma significativa; si ha cambiado, volver a percibir y replanificar en lugar de confirmar un clic caducado. Anthropic confirmó a Rehberger que ya seguía este riesgo durante la versión preliminar de Computer-Use, y cuando lanzó Cowork con computer-use, el equipo indicó que ahora se asegura de que los píxeles no hayan cambiado antes de una acción — exactamente esta comprobación de estabilidad de píxeles.

Superponga controles adicionales alrededor. Trate las acciones con consecuencias — enviar, comprar, borrar, conceder acceso — como puntos de control que requieren confirmación o una nueva observación deliberada, no como clics de «dispara y olvida». Restrinja dónde puede actuar el agente: un agente que solo opera dentro de una aplicación conocida es más difícil de redirigir hacia un elemento atacante superpuesto. Reduzca en lo posible la ventana entre razonamiento y acción, porque un intervalo más largo es una carrera más amplia. Y no olvide la vía de inyección: la cadena de Rehberger comenzaba con una inyección de prompt que a la vez dirigía y ralentizaba al agente, de modo que el tratamiento de contenido no confiable y los bucles resistentes a demoras importan tanto como la comprobación visual.

Estado

La carrera TOCTOU en computer-use fue reportada inicialmente por Jun Kokatsu contra OpenAI Operator en 2025 y reproducida contra Claude Computer-Use por Johann Rehberger, quien la reportó a Anthropic en octubre de 2025 y a varios otros proveedores. Anthropic la reconoció, recordó que Computer-Use estaba entonces en versión preliminar y posteriormente añadió una comprobación de estabilidad de píxeles en su versión computer-use de Cowork. Rehberger publicó el análisis el 25 de junio de 2026, tras demostrarlo en la conferencia Real-World AI Security de Stanford. No hay CVE asociado a la reproducción en Claude; el problema original en Operator se rastrea en un advisory de Google security-research. Léalo como un recordatorio: endurecer los agentes computer-use significa reimportar décadas de disciplina de sistemas operativos — empezando por no fiarse nunca de una comprobación hecha unos segundos antes.

Sources