El laboratorio de investigación de Cymulate ha publicado recientemente un informe que señala fallos arquitectónicos críticos en varias herramientas de asistencia a la programación con IA, entre ellas Claude Code, Gemini CLI, Codex CLI, Cursor y GitHub Copilot. Los investigadores descubrieron que estas herramientas presentan vulnerabilidades lógicas en el manejo de archivos de configuración y límites de confianza, lo que permite a los atacantes romper fácilmente las restricciones del sandbox y ejecutar código malicioso en la máquina anfitriona.
Vulnerabilidades estructurales: escape de sandbox basado en configuración
Ilan Kalendarov, jefe del equipo de investigación de seguridad de Cymulate, y su equipo han definido este tipo de vulnerabilidad como "escape de sandbox basado en configuración" (CBSE, por sus siglas en inglés). A diferencia de los ataques tradicionales que explotan vulnerabilidades del sistema operativo o del tiempo de ejecución del contenedor, los ataques CBSE logran la escalada de privilegios al modificar archivos de confianza o rutas de ejecución que el agente de IA procesa fuera del sandbox.
Cuando el agente de IA se reinicia, el código inyectado por el atacante se ejecuta directamente en el sistema anfitrión. El estudio demuestra que esta vulnerabilidad permite a los atacantes obtener privilegios de usuario y, posteriormente, acceder a credenciales confidenciales, código fuente e incluso infiltrarse en entornos en la nube. El equipo de Cymulate ha logrado reproducir este patrón de ataque en herramientas proporcionadas por empresas como Anthropic, Google y OpenAI.
El informe subraya que el problema central de estas herramientas de IA radica en considerar el sandbox como la única frontera de seguridad, ignorando los permisos de escritura que existen dentro del entorno aislado hacia los archivos de configuración del sistema anfitrión. Esta lógica de diseño hace que el aislamiento del sandbox sea extremadamente vulnerable ante entradas maliciosas.
Aunque Cymulate ya ha notificado estos riesgos de seguridad a los fabricantes, la respuesta ha sido desigual. Algunas empresas ya han comenzado a implementar parches, mientras que otras no han logrado resolver los problemas estructurales subyacentes o simplemente no han respondido. El estudio señala que, si bien las herramientas de desarrollo impulsadas por IA se encuentran en una fase de expansión agresiva, su arquitectura de seguridad se ha quedado muy atrás respecto a la velocidad de iteración de los productos.
Los expertos advierten que, aunque estas herramientas suelen comercializarse como asistentes de seguridad capaces de auditar código y detectar vulnerabilidades, se han convertido en un nuevo objetivo para los atacantes. Las empresas deben tratar a estos agentes de IA como software con altos privilegios y realizar auditorías estrictas sobre su capacidad para acceder a los entornos de desarrollo. A medida que las herramientas de IA se integran profundamente en los flujos de trabajo modernos, el diseño y la implementación de perímetros de seguridad se han convertido en un desafío crítico para toda la industria.