Un investigador de seguridad ha identificado una vulnerabilidad crítica de inyección de instrucciones (prompt injection) en Coinbase AgentKit, la cual permitiría a atacantes secuestrar agentes de IA para realizar transacciones financieras y comandos de servidor no autorizados.
El fallo, revelado por el investigador x402warden, permite que entradas de usuario no confiables manipulen modelos de lenguaje de gran tamaño (LLM) para ejecutar herramientas sensibles sin supervisión humana.
En un ataque de demostración realizado en la red de prueba Base Sepolia, el investigador logró activar una transferencia nativa (`native_transfer`) de ETH a una dirección controlada por el atacante. La vulnerabilidad también permitiría, potencialmente, aprobaciones ilimitadas de tokens ERC20 y la ejecución de acciones con capacidad de SSH dentro del contexto del agente.
Ejecución sin supervisión
La vulnerabilidad surge de un vacío arquitectónico en la forma en que AgentKit gestiona la ejecución de herramientas. Cuando un LLM procesa una carga útil (payload), puede ser inducido a llamar acciones sensibles, como `native_transfer` o `approve`, directamente a través del proveedor de acciones.
"El problema principal no fue la exposición de la clave privada. El problema principal fue el control de la ejecución", informó x402warden. El investigador señaló que el flujo —que va desde la entrada del usuario hasta la invocación de la herramienta— carecía de un paso de confirmación humana obligatorio para operaciones de alto riesgo.
Coinbase validó los hallazgos y otorgó una recompensa de 2.000 dólares al investigador. Aunque Coinbase calificó la gravedad como media, el investigador no estuvo de acuerdo con esa valoración, citando la capacidad de escalar el riesgo desde el vaciado de carteras hasta la ejecución remota de código a nivel de agente.
La vulnerabilidad fue reportada el 24 de febrero de 2026, apenas 13 días después del lanzamiento de las Agentic Wallets de Coinbase. El investigador destacó que la rápida aparición de esta superficie de ataque pone de manifiesto los riesgos de conectar LLM a herramientas con capacidad de gestión de carteras sin salvaguardas intermedias robustas.