Inyección de prompts oculta en librería de código abierto apuntó a agentes de IA de programación — y eliminó archivos de salida

Un mantenedor de jqwik, una librería de pruebas basadas en propiedades para Java, agregó silenciosamente una carga útil de inyección de prompts sin divulgar al código — específicamente diseñada para ser leída y ejecutada por agentes de IA en lugar del runtime de Java. Cuando un asistente de IA ingirió el código de la librería como contexto, la instrucción oculta le ordenó eliminar archivos de salida de la aplicación. Sin advertencia del compilador, sin excepción en tiempo de ejecución; la superficie de ataque fue la LLM, no la JVM.

La motivación, según reportes, fue la frustración con los "vibe coders" — desarrolladores que dependen completamente de asistentes de IA para generar y desplegar código sin entender qué hace. Ya sea que encuentres esa queja comprensible o no es irrelevante: la técnica funcionó, y eso es lo que importa para cualquiera que construya con herramientas de IA hoy.

Esta es una inyección de prompts en la cadena de suministro de manual. El ataque no requiere ninguna vulnerabilidad en el modelo de IA en sí. Solo requiere que el agente lea archivos de código fuente de terceros — que es exactamente lo que hacen herramientas como GitHub Copilot Workspace, Cursor y entornos similares con capacidades de agente por defecto cuando incorporan dependencias para contexto. El texto malicioso se ve como un comentario o documentación para un revisor humano pero se lee como una instrucción imperativa para una LLM.

La exposición práctica es significativa. Los flujos de trabajo de programación con agentes que indexan automáticamente node_modules, dependencias de Maven o cualquier código fuente incluido están ingiriendo texto no confiable y tratándolo con un nivel de autoridad que nunca fue destinado a tener. Una carga útil más destructiva o encubierta — exfiltrando secretos, introduciendo bugs de lógica sutiles, modificando silenciosamente aserciones de pruebas — seguiría el mismo vector.

Qué puedes hacer ahora mismo: audita qué archivos tu asistente de IA de programación puede indexar y restringe a código de primera parte donde sea posible. Trata las acciones generadas por IA que tocan el sistema de archivos, la red o credenciales con el mismo escepticismo que aplicarías a un script de shell de un desconocido. Si mantienes o consumes librerías de código abierto, comienza a pensar en la inyección de prompts como una categoría de riesgo en la cadena de suministro junto a confusión de dependencias y typosquatting — porque los atacantes ciertamente lo harán.