Locate-and-Judge: detectar skills de agente maliciosos con la atención
Un artículo de junio de 2026 escanea unos 134.000 skills de agente en tres marketplaces y confirma 131 skills maliciosos en circulación, usando la atención de seguimiento de instrucciones para revelar cargas ocultas en archivos de apariencia inofensiva.
¿Qué es esto?
Un artículo publicado en arXiv el 22 de junio de 2026, «Detecting Malicious Agent Skills in the Wild using Attention» (Universidad de Luxemburgo), aborda una superficie de ataque de cadena de suministro que ha crecido con rapidez y sigue apenas defendida: los skills de agente. Un skill es un paquete basado en archivos — un archivo SKILL.md con instrucciones en lenguaje natural y, opcionalmente, código auxiliar — que un agente LLM carga bajo demanda y ejecuta con los privilegios del usuario. Los skills circulan por marketplaces de terceros, de modo que un agente actúa habitualmente sobre instrucciones escritas por un autor desconocido. Un solo skill malicioso puede exfiltrar datos, secuestrar al agente o persistir como punto de apoyo que solo se activa bajo condiciones concretas.
Los autores aportan dos contribuciones. Primero, un método de detección, Locate-and-Judge, lo bastante económico como para auditar un marketplace entero en lugar de una muestra. Segundo, y más inquietante, un escaneo de unos 134.000 skills en circulación en tres marketplaces públicos (Lobehub, Skills.sh, Clawhub.ai) que sacó a la luz 131 skills maliciosos confirmados por revisores humanos — instalables hoy — de los cuales una parte notable escapa a los escáneres existentes. El trabajo es defensivo por construcción: detecta skills peligrosos antes de que lleguen al contexto de un agente, y los autores comunicaron cada hallazgo confirmado a los marketplaces antes de publicar.
Cómo funciona
La dificultad central es que las defensas clásicas contra la inyección de prompts no se trasladan a los skills. Esas defensas asumen una frontera entre instrucciones de confianza y datos no confiables. Un skill no tiene esa frontera: está compuesto enteramente de instrucciones, de modo que un comando malicioso se mezcla con las instrucciones legítimas y hereda su autoridad. Los detectores de inyección basados en la atención, que señalan el contenido que capta la atención de seguimiento de instrucciones del modelo, también se degradan aquí, porque en un skill se espera atención a las instrucciones en todas partes.
Locate-and-Judge recupera la señal separando la localización de la clasificación. Un analizador determinista divide primero el skill por sus costuras estructurales (títulos, párrafos, listas, bloques de código, metadatos). A continuación, un «localizador» ligero — un modelo lector pequeño — se ejecuta sobre todo el skill y clasifica cada segmento según la fuerza con que atrae la atención de seguimiento de instrucciones, conservando solo un puñado de los mejores. La premisa es estrecha pero eficaz: para que una inyección funcione, debe captar la atención del lector; por tanto figurará entre los segmentos más salientes, aun sepultada en texto legítimo. Por último, un «juez» más potente, en zero-shot, lee solo los segmentos retenidos y decide si alguno porta una instrucción maliciosa; el skill se marca si la puntuación máxima supera un umbral calibrado. Concentrar el juicio costoso en unos pocos segmentos de alta atención es lo que hace asequible el escaneo a escala de marketplace.
Por qué importa
Las cifras son lo esencial. El escaneo completo de los marketplaces costó unos 34 dólares y envió alrededor de 2,8 veces menos tokens al juez que leer cada skill por completo, recuperando a la vez más de las amenazas que importan. De los 131 skills maliciosos confirmados, 82 eran «ocultos» — disfrazados de herramientas corrientes mientras portaban una carga. El método recuperó el 83 % de esa clase oculta frente al 45 % de un escaneo de contenido íntegro por el mismo juez, y los escáneres de producción con los que se comparó pasaban por alto casi todos los casos no evidentes. Entre los skills disfrazados, los objetivos dominantes eran el robo de credenciales y secretos y los instaladores maliciosos que descargan y ejecutan código en el momento de la instalación; el artículo describe ejemplos reales, como una utilidad de «preparación de despliegue» que rastrea archivos .env, .pem y .key y los sube sin confirmación, o un «asistente de código» que decodifica un dropper base64 hacia una línea curl | bash.
La lección más amplia es que los marketplaces de skills constituyen una cadena de suministro viva y poco auditada, y que las herramientas en las que se apoya la mayoría de los equipos para verificar skills están calibradas para palabras clave y fronteras instrucción/datos limpias que los skills ocultos están escritos precisamente para burlar.
Defensas
Trate todo skill de terceros como código no confiable. Un skill se ejecuta con los privilegios del usuario y sus instrucciones portan autoridad real. Verifíquelo antes de que se cargue en el contexto de un agente, no después.
No confíe solo en escáneres por palabras clave o regex. Los skills maliciosos ocultos se escriben específicamente para burlar los patrones léxicos, y en este estudio la mayoría escaparon a los escáneres de palabras clave de producción. Combine las comprobaciones léxicas con un modelo que razone sobre la intención.
Prefiera la revisión semántica, por segmento, a escala. La conclusión práctica de Locate-and-Judge es que se puede concentrar el análisis costoso en los pocos segmentos que realmente captan la atención de seguimiento de instrucciones, lo que vuelve asequible — y no ilusorio — revisar un catálogo grande.
Vigile la exfiltración y la ejecución en la instalación. El rastreo de credenciales en archivos con secretos y los instaladores que descargan código desde IP codificadas eran los dos patrones dominantes. Marque los skills que leen archivos .env/de claves o lanzan instaladores de red durante la configuración.
Mantenga a un humano en el bucle sobre los skills marcados. El método se despliega con un umbral conservador de «revisar cada alerta». La detección automática reduce el pajar; una persona debe confirmar antes de incluir en lista blanca.
Tenga en cuenta lo que la revisión estática pasa por alto. El análisis skill por skill no detecta cadenas entre skills (un skill inofensivo que ordena al agente instalar uno malicioso), y los instaladores de una sola línea pueden eludir la segmentación. Combine la verificación estática con supervisión en ejecución y aislamiento de mínimo privilegio.
Estado
| Elemento | Referencia | Notas |
|---|---|---|
| Artículo principal | arXiv:2606.23416 | «Detecting Malicious Agent Skills in the Wild using Attention», 22 de junio de 2026 |
| Método | Mismo artículo | Locate-and-Judge: localizador por atención (LLM lector pequeño) + juez zero-shot sobre los top-K segmentos |
| Escaneo en el mundo real | Mismo artículo | ~134k skills, 3 marketplaces; 131 maliciosos confirmados (82 ocultos), precisión ~83 %, ≈34 $ |
| Coste | Mismo artículo | ~2,84× menos tokens enviados al juez que el escaneo de contenido íntegro |
| Relacionado | arXiv:2602.06547 | «Malicious Agent Skills in the Wild» — estudio empírico a gran escala (febrero de 2026) |
| Relacionado | arXiv:2606.07131 | MalSkillBench — benchmark verificado en ejecución de skills maliciosos (junio de 2026) |
La conclusión duradera es que el marketplace de skills es ahora una superficie de cadena de suministro de primer orden. Las defensas diseñadas para la separación instrucción-de-confianza / dato-no-confiable no se aplican cuando todo el artefacto son instrucciones; por eso la verificación debe razonar sobre la intención a nivel de segmento — de forma bastante económica como para cubrir un catálogo entero, y respaldada por revisión humana de lo que marca.