Los agentes de codificación con IA están desarrollando un problema de plugins. Agentes como Claude Code, OpenAI Codex y OpenClaw cargan skills - pequeños complementos que les otorgan nuevas capacidades. Una nueva investigación, reportada por The Hacker News, muestra que esas skills pueden colar malware por delante de los scanners de seguridad, y ya han aparecido skills realmente maliciosas en un marketplace de agentes. Esto es lo que está ocurriendo y cómo mantenerse a salvo. Para el tema más amplio, consulta nuestra guía de seguridad de agentes de IA.
Qué es una "skill" de agente
Una skill es un pequeño paquete, normalmente un archivo de instrucciones en Markdown más unos cuantos scripts, que un agente carga para adquirir una nueva capacidad. Es el modelo de plugin para los agentes de codificación con IA.
El problema: una skill puede incluir scripts con amplio acceso a tu sistema local. Así que un marketplace de skills - como ClawHub, la tienda del agente OpenClaw - se convierte en una cadena de suministro de software. Y las cadenas de suministro son justo donde a los atacantes les gusta esconderse.
Cómo oculta el malware SkillCloak
Según la investigación reportada por The Hacker News, SkillCloak es un framework de evasión que preserva el payload. Mantiene intacto el comportamiento de una skill maliciosa mientras cambia su aspecto ante un scanner. Utiliza dos métodos:
- Ofuscación estructural. Reescribir las cadenas delatoras en las que se fija un scanner - por ejemplo, cambiar un carácter por otro parecido de otro alfabeto, o partir un comando marcado a lo largo de un salto de línea. El código sigue ejecutándose; el patrón ya no coincide.
- Empaquetado autoextraíble. Mover todo el payload a un lugar que el scanner omite, como un directorio
.git/, tras un decodificador de aspecto inofensivo que reconstruye la skill solo cuando el agente la ejecuta. En el momento de la instalación no hay nada que ver.

Las cifras no son tranquilizadoras
Según la investigación, el equipo probó estos métodos a lo largo de ocho scanners y 1.613 skills maliciosas del mundo real. Los resultados:
- El empaquetado autoextraíble burló a todos los scanners en más del 90%.
- La ofuscación estructural burló a más del 80% en la mayoría de scanners estáticos, y al 96% en un scanner híbrido.
En otras palabras, el análisis estático de skills no basta por sí solo. Si un scanner solo inspecciona los bytes, una transformación que preserva el payload puede pasar de largo sin problema.
Esto no es solo teoría
Han aparecido skills realmente maliciosas en circulación. Según el análisis de la Unit 42 de Palo Alto y otros investigadores de seguridad, las skills maliciosas encontradas en el marketplace ClawHub se agrupaban en categorías que incluían entrega de infostealers para macOS, evasión de scanners mediante relleno de archivos y abuso agéntico con fines económicos. El riesgo de cadena de suministro es real, no hipotético.
Cómo mantenerse a salvo
Trata una skill de agente como cualquier dependencia no confiable, porque eso es lo que es:
- Instala solo desde fuentes en las que confíes, y prefiere skills que puedas leer.
- Lee lo que hace antes de ejecutarla - los scripts, no solo la descripción.
- Dale el mínimo privilegio: el menor acceso al sistema y a la red que necesite.
- Ejecútala en un sandbox que limite su alcance.
- Prioriza las comprobaciones basadas en comportamiento. Como los scanners estáticos pueden ser engañados, observa lo que una skill realmente hace en tiempo de ejecución, no solo el aspecto de su código. La misma investigación señala la auditoría basada en comportamiento como la respuesta más robusta.
La conclusión honesta
Dos matices. Primero, SkillCloak es investigación, reportada por The Hacker News y ligada a hallazgos reales en marketplaces - una debilidad demostrada, no una afirmación de compromiso masivo. Segundo, la solución es conocida: mínimo privilegio, sandboxing y detección basada en comportamiento. Nada de eso es exótico; es la higiene estándar de cadena de suministro aplicada a un lugar nuevo.
La lectura honesta: las skills de agentes de IA son potentes porque ejecutan código real, y peligrosas por la misma razón. A medida que los agentes cargan más skills de terceros, el marketplace se convierte en un objetivo, y el análisis estático por sí solo no aguantará. Trata las skills como dependencias, ejecútalas en sandbox y vigila su comportamiento. Para elegir herramientas fiables desde el principio, nuestro repaso de los mejores LLM de codificación 2026 te ayuda.



