La Nueva Vulnerabilidad en el Código de IA Expone a Millones a Posibles Ciberataques

Investigadoras de Pillar Security han descubierto una vulnerabilidad significativa en GitHub Copilot y Cursor, dos asistentes de codificación impulsados por inteligencia artificial ampliamente utilizados.

Apodado como “Reglas de Archivo Trasero”, este nuevo método de ataque permite a los hackers incrustar instrucciones maliciosas ocultas en archivos de configuración, engañando a la IA para que genere código comprometido que puede eludir los controles de seguridad estándar.

A diferencia de los ataques tradicionales que explotan las vulnerabilidades conocidas del software, esta técnica manipula la propia IA, convirtiéndola en una herramienta involuntaria para los ciberdelincuentes. “Este ataque permanece prácticamente invisible para los desarrolladores y los equipos de seguridad”, advirtieron los investigadores de Pillar Security.

Pillar informa que las herramientas de codificación de IA generativas se han vuelto esenciales para los desarrolladores, con una encuesta de GitHub de 2024 revelando que el 97% de los desarrolladores empresariales dependen de ellas.

A medida que estas herramientas dan forma al desarrollo de software, también crean nuevos riesgos de seguridad. Los hackers ahora pueden explotar cómo los asistentes de IA interpretan los archivos de reglas, que son archivos de configuración basados en texto utilizados para guiar el comportamiento de codificación de la IA.

Estos archivos de reglas, a menudo compartidos públicamente o almacenados en repositorios de código abierto, suelen ser confiables sin ningún escrutinio. Los atacantes pueden inyectar caracteres Unicode ocultos o sutiles indicaciones en estos archivos, influyendo en el código generado por la IA de maneras que los desarrolladores tal vez nunca detecten.

Una vez introducidas, estas instrucciones maliciosas persisten en los proyectos, propagando silenciosamente vulnerabilidades de seguridad. Pillar Security demostró cómo un archivo de reglas simple podría ser manipulado para inyectar código malicioso.

Mediante el uso de caracteres Unicode invisibles y trucos lingüísticos, los atacantes pueden dirigir a los asistentes de IA para generar código que contenga vulnerabilidades ocultas, como scripts que filtran datos sensibles o eluden mecanismos de autenticación. Peor aún, la IA nunca alerta al desarrollador sobre estas modificaciones.

“Este ataque funciona en diferentes asistentes de codificación de IA, lo que sugiere una vulnerabilidad sistémica”, señalaron los investigadores. Una vez que se adopta un archivo de reglas comprometido, cada sesión de código generada por IA en ese proyecto se convierte en un riesgo de seguridad potencial.

Esta vulnerabilidad tiene consecuencias de gran alcance, ya que los archivos de reglas envenenados pueden propagarse a través de varios canales. Los repositorios de código abierto representan un riesgo significativo, ya que los desarrolladores desprevenidos pueden descargar archivos de reglas prehechos sin darse cuenta de que están comprometidos.

Las comunidades de desarrolladores también se convierten en un vector de distribución cuando actores malintencionados comparten configuraciones aparentemente útiles que contienen amenazas ocultas. Además, las plantillas de proyectos utilizadas para configurar nuevo software pueden transportar estos exploits sin saberlo, incorporando vulnerabilidades desde el principio.

Pillar Security reveló el problema tanto a Cursor como a GitHub en febrero y marzo de 2025. Sin embargo, ambas compañías responsabilizaron a los usuarios. GitHub respondió que los desarrolladores son responsables de revisar las sugerencias generadas por IA, mientras que Cursor afirmó que el riesgo recae sobre los usuarios que gestionan sus archivos de reglas.