Desarrolladores de Mozilla han demostrado que es posible engañar a Claude Code para lograr la instalación de malware proveniente de repositorios de GitHub.

• Desarrolladores de Mozilla han logrado evidenciar una vulnerabilidad en Claude Code, demostrando que es posible manipular al agente de IA para que instale software malicioso proveniente de repositorios de GitHub.

La mayoría de personas ya ha experimentado distintos modelos de IA y hasta ha empezado a hacer pruebas con agentes, los cuales automatizan las tareas. Las opciones de la IA son subjetivas y dependen del individuo que la usa en su día a día o para cosas concretas como puede ser en el trabajo. Aunque sabemos que la IA puede darnos respuestas falsas o erróneas, confiamos en que al menos no desea fastidiar nuestro trabajo o peor aún, nuestro PC. Sin embargo, unos investigadores de Mozilla han descubierto que es posible engañar a agentes de IA como Claude Codex para que instalen malware que hemos descargado en repositorios de GitHub.

La principal razón por la que usamos IA es para poder ser más productivos y así completar tareas en mucho menos tiempo. Esto también incluye la posibilidad de hacer cosas de las que no tenemos conocimientos y la IA se encarga de hacerlas o al menos nos ayuda en gran parte a completarlas. Esto es bastante habitual en el mundo de la programación, pues es prácticamente imposible tener los conocimientos para diseñar todo tipo de programar y resolver todos los problemas que aparezcan. De hecho, es un trabajo que se basa en la iteración de prueba y error mayormente, pero con la IA nos saltamos muchas veces eso y simplemente confiamos en lo que nos da de código, aunque este no sea el más efectivo.

Investigadores del equipo 0din de Mozilla demuestran que se puede engañar a Claude Code y otros agentes de IA para ejecutar código con malware desde GitHub

En estos últimos meses hemos visto una prevalencia e interés en las IA centradas en ciberseguridad y ahí destacaríamos a Anthropic con Claude Mythos, la cual proporcionó resultados impresionantes y la usaron varias empresas de renombre. Desde Apple hasta Mozilla, siendo esta última la que quedó impresionada tras ver como descubrió más de 250 vulnerabilidades sin apenas falsos positivos. No obstante, ahora tenemos una prueba totalmente distinta que involucra también a Anthropic y a Mozilla, pero esta vez a su agente de IA Claude Code.

En lugar de usar Claude Code para el bien, los investigadores de 0din en Mozilla lo usaron para el mal, pues consiguieron engañarlo y que pusiera en marcha los archivos de un repositorio de GitHub que aparentaba estar limpio, pero contenía malware. Con esto quieren demostrar que los agentes de IA son vulnerables y aunque en teoría afecta a todos, Code se está convirtiendo en el predeterminado para tareas de programación.

Es un proceso bastante complejo, pero finalmente se salta las medidas de protección y ni la IA ni el usuario se dan cuenta que su PC está a merced de un atacante

Para hacer la prueba, un desarrollador que hace de víctima en esta prueba es el que le dice a Claude que inicialice el proyecto infectado. El malware debe estar suficientemente escondido y no debe haber herramientas que hagan saltar las medidas de seguridad. Tras esto, Claude Code procesa un archivo readme que inicializa un entorno Python con Axiom. Este tiene un script falso que da un error cuando se inicia, pero claro, ahí está la trampa, pues se ejecuta "python3 -m axiom init".

Este último activa un script que descarga un software y lo hace desde ""_axiom-config.m100.cloud". Hasta aquí todo parece legítimo hasta que se llega al registro TXT que abre una shell en la máquina del usuario y se redirige todo al PC del atacante, el cual puede obtener acceso al usuario y ejecutar software sin su permiso. A lo largo de todo este enrevesado proceso, el usuario y Claude solo verán un mensaje de "entorno listo" mientras el malware funciona.