alexi.sh
Todos los artículosSeguridad del navegadorPrivacidad de redHerramientas de privacidadModelado de amenazasProgramación con IAHerramientas de dev

alexi.shLaboratorio de IA

ai-coding

Las skills de agentes de IA son una nueva cadena de suministro de malware: por dentro de SkillCloak

PrivSec Lab4 min de lectura
Código fuente colorido mostrado en una pantalla de ordenador oscura

Los investigadores demostraron que las skills maliciosas de agentes de IA pueden ocultarse de los scanners estáticos mediante una técnica llamada SkillCloak, y ya han aparecido skills realmente maliciosas en los marketplaces de agentes. Qué son las skills, cómo funciona la evasión y cómo mantenerse a salvo.

Los agentes de codificación con IA están desarrollando un problema de plugins. Agentes como Claude Code, OpenAI Codex y OpenClaw cargan skills - pequeños complementos que les otorgan nuevas capacidades. Una nueva investigación, reportada por The Hacker News, muestra que esas skills pueden colar malware por delante de los scanners de seguridad, y ya han aparecido skills realmente maliciosas en un marketplace de agentes. Esto es lo que está ocurriendo y cómo mantenerse a salvo. Para el tema más amplio, consulta nuestra guía de seguridad de agentes de IA.

Qué es una "skill" de agente

Una skill es un pequeño paquete, normalmente un archivo de instrucciones en Markdown más unos cuantos scripts, que un agente carga para adquirir una nueva capacidad. Es el modelo de plugin para los agentes de codificación con IA.

El problema: una skill puede incluir scripts con amplio acceso a tu sistema local. Así que un marketplace de skills - como ClawHub, la tienda del agente OpenClaw - se convierte en una cadena de suministro de software. Y las cadenas de suministro son justo donde a los atacantes les gusta esconderse.

Cómo oculta el malware SkillCloak

Según la investigación reportada por The Hacker News, SkillCloak es un framework de evasión que preserva el payload. Mantiene intacto el comportamiento de una skill maliciosa mientras cambia su aspecto ante un scanner. Utiliza dos métodos:

  • Ofuscación estructural. Reescribir las cadenas delatoras en las que se fija un scanner - por ejemplo, cambiar un carácter por otro parecido de otro alfabeto, o partir un comando marcado a lo largo de un salto de línea. El código sigue ejecutándose; el patrón ya no coincide.
  • Empaquetado autoextraíble. Mover todo el payload a un lugar que el scanner omite, como un directorio .git/, tras un decodificador de aspecto inofensivo que reconstruye la skill solo cuando el agente la ejecuta. En el momento de la instalación no hay nada que ver.

Una mano escribiendo en un portátil que muestra la salida verde de una terminal en una habitación oscura

Las cifras no son tranquilizadoras

Según la investigación, el equipo probó estos métodos a lo largo de ocho scanners y 1.613 skills maliciosas del mundo real. Los resultados:

  • El empaquetado autoextraíble burló a todos los scanners en más del 90%.
  • La ofuscación estructural burló a más del 80% en la mayoría de scanners estáticos, y al 96% en un scanner híbrido.

En otras palabras, el análisis estático de skills no basta por sí solo. Si un scanner solo inspecciona los bytes, una transformación que preserva el payload puede pasar de largo sin problema.

Esto no es solo teoría

Han aparecido skills realmente maliciosas en circulación. Según el análisis de la Unit 42 de Palo Alto y otros investigadores de seguridad, las skills maliciosas encontradas en el marketplace ClawHub se agrupaban en categorías que incluían entrega de infostealers para macOS, evasión de scanners mediante relleno de archivos y abuso agéntico con fines económicos. El riesgo de cadena de suministro es real, no hipotético.

Cómo mantenerse a salvo

Trata una skill de agente como cualquier dependencia no confiable, porque eso es lo que es:

  • Instala solo desde fuentes en las que confíes, y prefiere skills que puedas leer.
  • Lee lo que hace antes de ejecutarla - los scripts, no solo la descripción.
  • Dale el mínimo privilegio: el menor acceso al sistema y a la red que necesite.
  • Ejecútala en un sandbox que limite su alcance.
  • Prioriza las comprobaciones basadas en comportamiento. Como los scanners estáticos pueden ser engañados, observa lo que una skill realmente hace en tiempo de ejecución, no solo el aspecto de su código. La misma investigación señala la auditoría basada en comportamiento como la respuesta más robusta.

La conclusión honesta

Dos matices. Primero, SkillCloak es investigación, reportada por The Hacker News y ligada a hallazgos reales en marketplaces - una debilidad demostrada, no una afirmación de compromiso masivo. Segundo, la solución es conocida: mínimo privilegio, sandboxing y detección basada en comportamiento. Nada de eso es exótico; es la higiene estándar de cadena de suministro aplicada a un lugar nuevo.

La lectura honesta: las skills de agentes de IA son potentes porque ejecutan código real, y peligrosas por la misma razón. A medida que los agentes cargan más skills de terceros, el marketplace se convierte en un objetivo, y el análisis estático por sí solo no aguantará. Trata las skills como dependencias, ejecútalas en sandbox y vigila su comportamiento. Para elegir herramientas fiables desde el principio, nuestro repaso de los mejores LLM de codificación 2026 te ayuda.

Photo: Pexels (source)

También disponible en

FAQ

¿Qué es una skill de agente de IA?
Una skill es un pequeño paquete - normalmente un archivo de instrucciones en Markdown más unos cuantos scripts - que un agente carga para adquirir una nueva capacidad. Agentes como Claude Code, OpenAI Codex y OpenClaw las utilizan. Como una skill puede incluir scripts con amplio acceso al sistema local, un marketplace de skills pasa a formar parte de la cadena de suministro de software, y una arriesgada si una skill es maliciosa.
¿Qué es SkillCloak?
Según la investigación reportada por The Hacker News, SkillCloak es un framework de evasión que preserva el payload: mantiene intacto el comportamiento de una skill maliciosa mientras cambia su aspecto ante un scanner. Utiliza dos métodos - ofuscación estructural (reescribir las cadenas delatoras en formas parecidas) y empaquetado autoextraíble (ocultar el payload donde los scanners no miran y reconstruirlo cuando el agente se ejecuta).
¿Hasta qué punto evade SkillCloak a los scanners?
Según la investigación, a lo largo de ocho scanners y 1.613 skills maliciosas reales, el empaquetado autoextraíble burló a todos los scanners en más del 90%, y la ofuscación estructural burló a más del 80% en la mayoría de scanners estáticos y alcanzó el 96% en un scanner híbrido. La conclusión es que el análisis estático de skills no basta por sí solo.
¿Cómo uso las skills de agentes de IA de forma segura?
Trata una skill como cualquier dependencia no confiable. Instala solo desde fuentes en las que confíes, lee lo que hace, dale el menor acceso que necesite y ejecútala en un sandbox que limite su alcance en el sistema y en la red. Como los scanners estáticos pueden ser engañados, prioriza las comprobaciones basadas en comportamiento - observa lo que una skill realmente hace en tiempo de ejecución, no solo el aspecto de su código.