SUPPLY CHAIN
(27)27 hack(s).
Bucket squatting en Vertex AI: la RCE cross-tenant «Pickle in the Middle»
Unit 42 reveló (16 de junio de 2026) un fallo en el SDK de Python de Vertex AI: un nombre de bucket de staging predecible y la falta de verificación de propiedad permitían secuestrar la subida de un modelo y lograr ejecución de código cross-tenant. Corregido en v1.148.0.
Las skills de agente son una cadena de suministro: malware e inyección en SKILL.md
Una auditoría de febrero de 2026 de ~4.000 skills de agente encontró un 13,4 % de casos críticos y 76 cargas maliciosas activas. SKILL.md ya es una supply chain — así se clasifica.
Toma del scope npm de Mastra: una cuenta de mantenedor inactiva envenena un framework de agentes de IA
El 17 de junio de 2026, una cuenta de colaborador olvidada republicó todo el scope npm @mastra — unos 142 paquetes — con una dependencia maliciosa que instala un ladrón de criptomonedas y un RAT. Una credencial caducada, no un zero-day.
Las chat templates son código: inyección Jinja2 (SSTI) en servidores de inferencia LLM
El boletín VU#915947 del CERT/CC (20 de abril de 2026) documenta CVE-2026-5760, una RCE CVSS 9.8 en SGLang: un archivo de modelo GGUF malicioso transporta una chat template Jinja2 que ejecuta Python en el servidor. La misma clase que Llama Drama y un fallo de vLLM anterior.
MalTool: cuando una IA escribe la herramienta maliciosa que instala tu agente
Unos investigadores sintetizaron 6.487 herramientas de agente maliciosas funcionales con un LLM de código. VirusTotal no detectó la mayoría. La lección: el escaneo por firmas es el control equivocado para la cadena de suministro de herramientas de agentes.
Secret Stealing: código de modelo manipulado exfiltra tus datos de fine-tuning
Un artículo del 30 de abril de 2026 muestra que el código de modelo alterado —no los pesos envenenados— puede robar claves de API y datos personales del fine-tuning local, con >98 % de recuperación, eludiendo DP-SGD y las auditorías.
LiteLLM con puerta trasera: cuando un escáner CI envenenado controla la pasarela LLM
En marzo de 2026, los atacantes robaron el token de publicación PyPI de LiteLLM al comprometer Trivy dentro de su pipeline CI, y luego publicaron dos versiones con puerta trasera. La cadena revela por qué la pasarela LLM es un objetivo prioritario.
Semantic Compliance Hijacking: skills de agente sin payload, invisibles a los escáneres
Un artículo de arXiv del 14 de mayo de 2026 muestra que un archivo de skill sin código ni intención maliciosa explícita puede llevar a un agente de código a escribir su propio malware en tiempo de ejecución — con una tasa de detección del 0,00 %.
HAMLOCK: una puerta trasera repartida entre el modelo y el chip
Un artículo de USENIX Security 2026, difundido el 15 de junio de 2026, divide una puerta trasera entre software y silicio: el modelo por sí solo nunca se equivoca, y los escáneres de software como Neural Cleanse o MNTD no detectan nada.
Cuando el #1 en tendencias es malware: el typosquat Open-OSS/privacy-filter en Hugging Face
El 7 de mayo de 2026, HiddenLayer halló Open-OSS/privacy-filter, un typosquat del modelo de OpenAI que llegó al #1 en tendencias de Hugging Face con ~244 000 descargas en 18 horas y entregaba un infostealer en Rust.
MalSkillBench: no sabemos medir los detectores de skills maliciosos porque los datos de prueba están sesgados
Un artículo de junio de 2026 construye el primer benchmark con verificación en ejecución de skills de agente maliciosos —3.944 muestras en 108 celdas de ataque— y demuestra que el recall de un mismo detector puede variar 66 puntos según el conjunto de datos usado.
ktransformers: RCE no autenticada vía pickle sobre ZeroMQ (CVE-2026-26210)
Una RCE crítica en el motor de inferencia ktransformers expone un socket ZMQ en todas las interfaces y deserializa con pickle todo lo que recibe. Es el caso más reciente del patrón «ShadowMQ» copiado entre los stacks de inferencia de IA.
Enrutadores de API LLM maliciosos: el hombre en el medio sin vigilancia de los agentes
Un estudio de UC Santa Barbara (arXiv, 9 de abril de 2026) midió 428 enrutadores de API LLM de terceros: varios inyectaban código, robaban credenciales y vaciaron una cartera cripto, desde una frontera de confianza que los desarrolladores configuran voluntariamente.
Más allá del tool poisoning: qué puede hacer realmente un servidor MCP remoto malicioso
Un estudio del 21 de mayo de 2026 cartografía toda la superficie de ataque de los servidores MCP remotos maliciosos en ChatGPT, Claude Desktop y Gemini CLI: el filtrado del host pasa del 95 % al 50 % ante la misma petición, y los ataques exitosos casi nunca se revelan.
RTK (CVE-2026-45792): filtros no confiables ocultan backdoors a la revisión por IA
Pillar Security divulgó el 20 de mayo de 2026 un fallo en RTK, un filtro de optimización de tokens para Claude Code: un .rtk/filters.toml provisto por el repositorio podía eliminar en silencio un backdoor de la salida de comandos antes de que el modelo la viera. El objetivo es la percepción del agente, no su ejecución.
Gusano Hades: configuración de agentes de código envenenada que se ejecuta al abrir el repo
El gusano Hades hace commit de archivos de configuración para Claude Code, Gemini, Cursor y VS Code que se ejecutan al iniciar la sesión o abrir la carpeta — convirtiendo un repo clonado en un ladrón de credenciales, sin ningún paso de instalación.
Inyección por config de Transformers: una RCE silenciosa que esquiva trust_remote_code
CVE-2026-4372, divulgada el 4 de junio de 2026, permite que un único campo de config.json ejecute código del atacante en una simple llamada from_pretrained() — esquivando trust_remote_code=False en Hugging Face Transformers.
Envenenamiento secuencial: repartir una puerta trasera entre las etapas del post-entrenamiento
Un artículo del 3 de junio de 2026 muestra que un veneno repartido entre datos de SFT y de preferencias — insignificante en cada etapa por separado — se combina en una puerta trasera funcional. Las auditorías por etapa crean una «ilusión del atacante único».
MetaBackdoor: un disparador de puerta trasera basado en la longitud, invisible en la entrada
Un artículo de mayo de 2026 de Microsoft y el Institute of Science Tokyo implanta una puerta trasera cuyo disparador es la longitud de la entrada, no su texto. El prompt parece limpio, los filtros de contenido no ven nada y bastan 90 ejemplos envenenados.
Back-Reveal: exfiltración de datos mediante las propias llamadas a herramientas de un agente comprometido
Un agente ajustado lleva un disparador oculto. Ante una señal inocua, lee tu memoria de sesión y la envía disfrazada de simple llamada de búsqueda — sin inyección, sin herramienta maliciosa. Artículo fechado el 7 de abril de 2026.
trust_remote_code=False no es una frontera: la RCE recurrente al cargar modelos en vLLM
CVE-2026-27893 (divulgada el 27 de marzo de 2026) es el tercer bypass de trust_remote_code en vLLM. Dos archivos de modelo fijan trust_remote_code=True, anulando en silencio la opción del operador y habilitando RCE desde un repositorio de modelo malicioso.
Los archivos GGUF son entrada no confiable: las RCE recurrentes del parser de llama.cpp
CVE-2026-33298 (marzo de 2026) y una divulgación en oss-sec del 15 de mayo de 2026 muestran que el parser GGUF de llama.cpp encadena corrupciones de heap por desbordamiento de enteros: cargar un modelo manipulado puede bastar para ejecutar código.
Inyección de AGENTS.md: una dependencia envenenada puede reescribir en silencio las órdenes de tu agente de código
Un informe del NVIDIA AI Red Team del 20 de abril de 2026 muestra que una dependencia maliciosa puede dejar un AGENTS.md falsificado durante el build, anular la instrucción del desarrollador y pedir a OpenAI Codex que oculte el cambio en la pull request.
Slopsquatting en 2026: 127 nombres de paquetes que los cinco LLM frontera alucinan de forma idéntica
Una replicación en arXiv del 16 de mayo de 2026 del estudio de slopsquatting de USENIX Security '25 muestra que las tasas de alucinación bajan en los modelos frontera — pero identifica 127 paquetes fantasma inventados de forma idéntica por todos los modelos probados, una superficie de ataque de supply chain independiente del modelo.
pgAdmin 4 incorpora un panel LLM y hereda un LFI+SSRF clásico (CVE-2026-7817)
pgAdmin 4 9.15 corrige un LFI y un SSRF autenticados en los nuevos endpoints de configuración de la API LLM. La clase de bug tiene cuarenta años; la superficie es nueva.
Disparadores ocultos en SKILL.md: ataques semánticos a la cadena de suministro de los registros de skills
Un artículo de la Universidad de Maryland del 12 de mayo de 2026 muestra que un añadido de 20 tokens en un archivo SKILL.md hace que el agente descubra y seleccione una skill adversaria en el 77–86 % de los ensayos, y elude los escaneos del registro hasta el 100 % de las veces.
Mini Shai-Hulud: el gusano de supply chain que apuntó al stack de tooling de IA
Divulgado entre el 11 y el 18 de mayo de 2026, el gusano Mini Shai-Hulud troyanizó más de 170 paquetes de npm y PyPI — incluidos Mistral AI, Guardrails AI y TanStack — y persiste dentro de Claude Code y VS Code.