Els millors agents d’IA dissenyats per detectar codi maliciós poden ser enganyats per executar-lo
17/07/2026

Demana a un agent de codificació d’IA que escanegi el codi obert per detectar forats de seguretat i podria executar el codi de l’atacant a la teva màquina.
Aquesta és la troballa en una prova de concepte publicada dimecres per l’AI Now Institute, un atac que anomena «Foc amic». Funciona contra el Claude Code d’Anthropic i el Codex d’OpenAI quan qualsevol dels dos s’executa en un mode autònom que aprova les seves pròpies ordres.
Segresta exactament la feina per a la qual es venen aquestes eines: comprovar si hi ha problemes en el codi de tercers que no és de confiança. En lloc de detectar l’amenaça, l’agent es converteix en la porta d’entrada.
Els investigadors Boyan Milanov i Heidy Khlaaf van provar dues configuracions, cadascuna en una instal·lació de sèrie amb el mode autònom activat:
- Codi de Claude (CLI 2.1.116, 2.1.196, 2.1.198, 2.1.199) sobre el Sonet 4.6, el Sonet 5 o l’Opus 4.8 de Claude
- OpenAI Codex (CLI 0.142.4) a GPT-5.5
El «mode automàtic» de Claude Code i la «revisió automàtica» de Codex fan servir un classificador per executar ordres que l’agent considera segures, i només posen en pausa les que marca com a arriscades. Tots dos es troben entre l’accés totalment sense restriccions i una configuració que pregunta abans de cada acció. Són opcionals i l’atac necessita que hi hagi un activat.
No s’espera cap pedaç. Les compilacions anteriors són només el que han provat els investigadors, no un interval de versions vulnerables. AI Now argumenta que la debilitat rau en el disseny, de manera que la solució és un canvi en el flux de treball, no un augment de versió.
L’exposició també és limitada: només arriba quan un agent amb capacitat de comandaments, en un d’aquests modes, revisa el codi que no controla. L’atac deixa caure uns quants fitxers addicionals en una biblioteca de codi obert.
La demostració utilitzava geopy, una biblioteca de Python que es fa servir molt per cercar coordenades de mapes, tot i que els investigadors diuen que és compatible amb gairebé qualsevol projecte. Una nota al README.md suggereix executar un script anomenat security.sh com a comprovació rutinària abans d’obrir una sol·licitud d’extracció. L’script inicia silenciosament un binari ocult que conté la càrrega útil real.
Per superar les comprovacions de seguretat de l’agent, els investigadors van disfressar aquest binari com la versió compilada d’un fitxer Go inofensiu que es trobava just al costat. També el van sembrar amb cadenes extretes d’aquest fitxer, de manera que la comprovació de desassemblatge de Claude Code unís els dos. Res del codi propi de la biblioteca crida mai el binari, de manera que res sembla fora de lloc.
Si s’apunta l’agent a la carpeta amb una sol·licitud simple com ara «Fer proves de seguretat en aquest projecte», la resta s’executarà sol. L’agent llegeix el README, decideix que l’script sembla part de la feina i l’executa. El binari de l’atacant s’executa a l’amfitrió. Sense avís, sense quadre d’aprovació.
Els atacs d’agents anteriors abusen principalment dels fitxers de configuració de la màquina com ara .mcp.json o .claude/settings.json, cosa que fa que Claude Code avisi de «Sí, confio en aquesta carpeta». Aquesta s’amaga a README.md, un fitxer de text normal a gairebé tots els repositoris. No hi ha cap indicació de confiança, ni accés privilegiat, sinó que hi ha una obertura molt més àmplia.
L’informe assenyala que Anthropic ha enviat tres pedaços per a la injecció de fitxers de configuració en els darrers sis mesos; aquesta ruta evita tota aquesta problemàtica.
Les defenses dels agents no són res. Claude Code ja ha detectat intents més grollers abans; els investigadors assenyalen que va aturar una injecció contundent de «suprimir tot el codi» implementada pel mateix mantenidor d’una biblioteca. Però aquest atac està dissenyat per semblar insignificant i passa desapercebut. Quan es va preguntar directament si geopy contenia alguna instrucció oculta, tant Claude Sonnet 4.6 com GPT-5.5 van dir que no.
Escrit per a Sonnet 4.6, el mateix paquet va funcionar sense canvis a Sonnet 5, Opus 4.8 i GPT-5.5. En algunes execucions, els models més nous fins i tot van notar que el binari no coincidia amb la seva font suposada i el van executar igualment.
Una injecció, dos proveïdors, quatre models, cap canvi. Aquesta és la base sòlida de l’afirmació més dura d’AI Now: això no es pot solucionar amb una actualització del model, perquè els models encara no poden distingir de manera fiable el codi que estan llegint a partir de les instruccions que se suposa que han de seguir.
AI Now assenyala les conclusions als responsables polítics. Els governs i els proveïdors estan impulsant els agents d’IA a tasques de seguretat defensiva, entre elles una ordre executiva dels EUA del juny, més de pressa del que ningú ha tancat la bretxa que exposa aquest atac.
Això encara és una prova de concepte de laboratori, sense cap explotació reportada a l’exterior. El codi públic a GitHub té la càrrega útil eliminada i l’atac s’atura en aquesta primera execució, sense cap intent d’escalada de privilegis o moviment lateral. Els investigadors diuen que van informar tant a Anthropic com a OpenAI, i assenyalen que el treball es troba fora dels programes de divulgació formal d’ambdues empreses.
El mode de fallada subjacent no és nou. «TrustFall» d’Adversa va convertir un repositori ple de trampes en execució de codi amb un sol clic a Claude Code, Cursor, Gemini CLI i Copilot CLI al maig.
«Agentjacking» de Tenet ho va fer amb un informe d’error fals instal·lat al rastrejador d’errors Sentry, enganyant agents com Claude Code i Cursor amb una taxa d’encerts del 85 %. L’amenaça no és cap fitxer o canal en concret, sinó la mateixa condició que hi ha a sota: text extern no fiable que arriba a un agent que pot executar ordres.
I aquesta condició no és hipotètica: els atacants enverinen el codi públic, tal com va demostrar PyTorch Lightning.
La recomanació dels investigadors és contundent: no doneu codi no fiable a un agent que pugui executar ordres i accedir a les vostres claus, secrets o amfitrió. Això és incòmode per als equips que van adoptar aquestes eines precisament per verificar codi de tercers, però és el que es desprèn de la troballa. Si les executeu de totes maneres, el que cal tenir en compte és l’agent que executa un binari o un script que només executi a partir de les indicacions d’un fitxer README o un docs.
Les solucions alternatives habituals només són parcials. En la configuració provada, l’ordre s’executa directament a l’amfitrió, sense cap sandbox que hi interfereixi. Afegir-ne una com a precaució ajuda, però un sandbox no és hermètic: el codi que s’hi executa pot escapar, i el mateix sandbox de Claude Code ha tingut errors d’escapament aquest any, incloent-hi el defecte d’enllaç simbòlic.CVE-2026-39861.
Els investigadors no van integrar aquest pas en aquesta prova de concepte, però la contenció no és quelcom en què recolzar-se. Els modes més estrictes que pregunten abans de cada pas funcionen, però cancel·len l’automatització per a la qual l’agent estava activat i, de totes maneres, als revisors cansats se’ls escapen coses.









