SkillMutator: el ataque oculto entre el texto y el código de una skill de agente
Un benchmark de junio de 2026 demuestra que una skill de agente puede ser maliciosa en la interacción entre sus instrucciones en lenguaje natural y sus scripts — superando tanto la detección de inyección de prompts como la revisión de código, mientras induce al agente a exfiltrar archivos.
En resumen Un benchmark publicado en junio de 2026 (arXiv:2606.14154) apunta a un punto ciego en cómo se verifican las skills de agente. Una skill combina una especificación en lenguaje natural con scripts ejecutables, por lo que una skill maliciosa no necesita ni un prompt envenenado ni un código evidentemente malicioso: puede ocultar el daño en la interacción entre ambos. El texto describe un flujo de trabajo inocuo mientras directivas implícitas inducen al agente a exfiltrar archivos sensibles, aun cuando cada script, leído por separado, parece inofensivo. SkillMutator es el primer benchmark de detección en tiempo de instalación de estos ataques cross-modales de lenguaje-y-código, y aporta un escáner desplegable localmente, entrenado para detectarlos.
¿Qué es esto?
Las skills de agente son un mecanismo de extensión en plena expansión. Como describió Anthropic al publicar el formato como estándar abierto en diciembre de 2025, una skill es una carpeta que contiene un archivo SKILL.md — instrucciones en lenguaje natural más scripts, plantillas y recursos opcionales — que un agente descubre y carga en tiempo de ejecución para desempeñarse mejor en una tarea concreta. El agente lee el texto para decidir qué hacer y ejecuta el código incluido para hacerlo realmente.
Es precisamente esa doble naturaleza lo que examina la investigación de junio de 2026. Dado que el comportamiento real de una skill depende tanto de sus instrucciones en lenguaje como de su código ejecutable, juzgar su seguridad exige razonar sobre ambas modalidades a la vez. El artículo denomina a esto una superficie de ataque cross-modal de lenguaje-y-código, y sostiene que ha permanecido en gran medida sin medir: los trabajos previos trataban una skill o bien como un vector de inyección de prompts (mirar el texto), o bien como un artefacto de código estático (escanear los scripts), y por tanto pasaban por alto las amenazas que solo existen en la combinación de ambos.
Cómo funciona
El ataque vive en la brecha entre leer y ejecutar. Un atacante distribuye una skill cuyo SKILL.md presenta un flujo de trabajo plausible e inocuo, incrustando a la vez directivas implícitas que redefinen cómo debe el agente usar los scripts suministrados. Leídos por separado, esos scripts pueden parecer utilidades ordinarias; leídos a la luz de las instrucciones en lenguaje natural, se convierten en el mecanismo de algo que el usuario nunca pidió — por ejemplo, recopilar y exfiltrar sigilosamente archivos sensibles durante lo que se anuncia como una tarea rutinaria.
Un escáner de inyección de prompts puramente textual no ve el camino de código que se está armando. Un escáner de código puramente estático no ve la intención codificada en el texto. Cada control monomodal aprueba la skill, y la composición maliciosa supera la revisión en la instalación.
Para medir el problema, los autores construyeron SkillMutator, que describen como el primer benchmark de detección en tiempo de instalación de ataques cross-modales de lenguaje-y-código sobre skills de agente. Emula un proceso adversario de mutación de skills que abarca 13 categorías de ataque y reescribe iterativamente las skills maliciosas a partir de la retroalimentación del escáner que intenta burlar — así el benchmark pone a prueba a los detectores frente a variantes evasivas y refinadas, en lugar de un conjunto de muestras fáciles y estáticas.
En el lado defensivo, el artículo propone un marco de destilación de trayectorias de razonamiento en cuatro fases. Toma las trazas de razonamiento de un potente modelo «profesor» de frontera y las destila, a través de cuatro etapas de razonamiento estructuradas, en modelos de pesos abiertos más pequeños. El resultado es un escáner capaz de ejecutarse localmente en el momento de la instalación, lo cual importa por dos razones prácticas que señalan los autores: evita enviar el contenido potencialmente sensible de una skill a un tercero, y evita el coste de API de hacer pasar cada instalación de skill por un modelo de frontera.
Por qué importa
Las skills se están convirtiendo en un canal de distribución — compartidas en repositorios, integradas en productos, intercambiadas entre equipos. La decisión de confianza se toma en la instalación, y hoy esa decisión suele descansar en una lectura humana rápida o en un escaneo monomodal. Este trabajo muestra que ninguno de los dos basta: una skill puede moldearse de forma adversaria para leerse limpia y escanearse limpia y aun así ser dañina en operación. A medida que crecen los mercados de skills, la puerta de la instalación es el punto donde una skill envenenada o bien se intercepta, o bien se instala como una capacidad permanente dentro del agente.
También reformula la verificación. «El texto no contiene inyección» y «el código no contiene patrones conocidos como maliciosos» son dos luces verdes distintas que, juntas, siguen sin probar que una skill sea segura. La propiedad que importa es cross-modal: ¿qué hace hacer al agente este texto más este código?
Defensas
- Verifique las skills de forma cross-modal, en la instalación. Evalúe juntas las instrucciones en lenguaje natural y los scripts incluidos, preguntándose qué comportamiento induce la combinación — no cada modalidad por separado. Esa es precisamente la brecha que el benchmark existe para medir.
- Prefiera un escáner local para la revisión de skills. Ejecutar la detección localmente en la instalación evita exponer el contenido de las skills a terceros y elimina el coste de un modelo de frontera por instalación — el compromiso exacto que persigue el escáner destilado de pesos abiertos del artículo.
- Trate las skills instaladas como código no confiable con una intención. Aplique disciplina de supply chain: fije y revise versiones, restrinja qué skills puede cargar un agente y aísle la ejecución de skills para que un script no pueda alcanzar secretos ni la red salvo que la tarea realmente lo requiera.
- Restrinja las capacidades que el texto puede invocar. El mínimo privilegio sobre el acceso a archivos y la salida de red limita lo que un script de apariencia inocua, armado por directivas ocultas, puede realmente exfiltrar.
- Someta los detectores a prueba frente a variantes evasivas. Un escáner que atrapa skills manifiestamente maliciosas puede fallar ante las refinadas a partir de su propia retroalimentación. Evalúe la detección con skills mutadas de forma adversaria, no con un corpus estático.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Artículo SkillMutator | arXiv:2606.14154 | 2026-06 | Primer benchmark de detección en tiempo de instalación de ataques cross-modales de lenguaje-y-código sobre skills de agente |
| Superficie de ataque | arXiv:2606.14154 | 2026-06 | 13 categorías de ataque; skills maliciosas refinadas iterativamente a partir de la retroalimentación del escáner |
| Defensa | arXiv:2606.14154 | 2026-06 | Destilación de trayectorias de razonamiento en cuatro fases hacia modelos de pesos abiertos → escáner desplegable localmente |
| Formato Agent Skills | Anthropic engineering | 2025-12 | Las skills combinan las instrucciones en lenguaje natural de SKILL.md con scripts ejecutables; estándar abierto |
La lección no es que las skills de agente sean peligrosas de usar. Es que la seguridad de una skill es una propiedad de su lenguaje y su código considerados en conjunto, y que el momento de comprobarla es antes de la instalación — con una revisión que razone sobre ambas modalidades, y no dos pasadas monomodales que la dejen pasar cada una por su lado.