Los agentes de código con IA ya no son una curiosidad. Leen repositorios, editan archivos, ejecutan comandos, siguen instrucciones del proyecto y revisan pull requests. Eso los hace útiles, pero también los convierte en automatización privilegiada en la máquina del desarrollador.

Agente de código IA dentro de un sandbox junto a repositorio, aprobación y bóveda de secretos

La señal positiva existe. Un paper de arXiv sobre el despliegue temprano de Claude Code y GitHub Copilot CLI en Microsoft estudia decenas de miles de ingenieros y afirma que los usuarios adoptantes fusionaron aproximadamente un 24% más de pull requests de lo esperado. Los autores advierten, eso sí, que un merged PR es solo un proxy de output y que el gasto en tokens puede llegar a millones de dólares al año.

Al mismo tiempo, julio trajo tres avisos de seguridad: GhostApproval de Wiz, Friendly Fire de AI Now Institute y Ghostcommit de ASSET Research Group. La conclusión práctica no es abandonar los agentes. Es tratarlos como CI runners, contractors y extensiones de IDE con privilegios.

Qué cambió

El autocomplete sugería una línea. El agente moderno puede leer AGENTS.md, escanear el workspace, llamar herramientas, modificar código, correr tests, mirar documentos o imágenes y actuar dentro de flujos de revisión. Un repositorio malicioso ya no es solo código a revisar. Puede convertirse en el entorno de instrucciones del agente.

Si un sistema puede leer secretos, escribir archivos y ejecutar comandos, alguien intentará dirigirlo.

GhostApproval: aprobar no basta

Wiz publicó GhostApproval el 8 de julio. El patrón: un repositorio malicioso usa symlinks para que el asistente escriba fuera del workspace, mientras la interfaz de aprobación muestra una ruta local aparentemente inocente.

Wiz dice que el problema afectó a Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity y Windsurf. Algunos vendors corrigieron rápido; otros seguían en proceso o rechazaron el reporte. NVD mostraba CVE-2026-12958 para AWS Language Servers y CVE-2026-50549 para Cursor, con correcciones en versiones nuevas.

La lección no es memorizar CVEs. Es que "el usuario aprobó" no sirve si el usuario no ve la ruta canónica, el destino real y los efectos laterales.

Friendly Fire: revisar código hostil también es riesgo

AI Now Institute describió Friendly Fire como una prueba de concepto de RCE contra Claude Code CLI y OpenAI Codex CLI cuando se usan para revisar bibliotecas de terceros. El ataque usa prompt injections repartidas por el código fuente y apunta a modos automáticos o de auto-review.

No hay que presentarlo como explotación masiva. Es research. Pero el escenario es exactamente el que muchas empresas quieren: pedir al agente que audite una dependencia desconocida. Ese trabajo debe correr en entornos desechables, sin claves reales, sin tokens de publicación, sin red amplia y sin auto-approve.

Ghostcommit: la inyección se esconde en imágenes

BleepingComputer cubrió Ghostcommit el 11 de julio. La idea de ASSET es meter instrucciones maliciosas dentro de un PNG citado por AGENTS.md. Un revisor textual o una herramienta AI puede saltarse la imagen. Más tarde, el agente lee esa instrucción y puede filtrar secretos como datos aparentemente inofensivos.

ASSET dice que examinó 6.480 pull requests de 300 repositorios activos y que el 73% llegó a la rama principal sin revisión humana sustantiva ni bot review. El punto más importante: imágenes, docs y archivos de instrucciones pueden influir en agentes aunque los humanos los traten como artefactos de bajo riesgo.

BleepingComputer reporta que Cursor con Claude Sonnet filtró .env en una prueba, mientras Claude Code se negó en sus tests. Eso muestra que el modelo no lo es todo. El wrapper, los permisos, los defaults y la política de herramientas deciden mucho.

Qué deben hacer los equipos

No ejecutes agentes sobre repositorios no confiables desde tu entorno diario. Usa contenedores, VMs o workspaces desechables. No montes secretos. Bloquea o registra la red. Desactiva auto-approve en tareas de riesgo.

Separa secretos del workspace del agente. Revisa symlinks y rutas resueltas. Trata AGENTS.md, README, imágenes, SVGs, docs y metadata como entradas que pueden instruir al agente. Limita MCP servers, CLIs de nube y acceso al filesystem. Guarda logs de prompts, tool calls, diffs, comandos y modelo usado.

También controla el gasto. Los agentes son compute. Necesitan budgets, dashboards y políticas de modelos.

Decisión de adopción

Usa agentes en repositorios confiables, con tareas repetitivas y entorno controlado. Limítalos en repositorios sensibles hasta tener sandboxing, logs y controles de aprobación. Para código no confiable, trátalo como análisis de malware: aislamiento, sin secretos y sin credenciales persistentes.

La próxima fase de AI Practice no va de escribir más prompts. Va de disciplina operativa alrededor de agentes que pueden actuar.