Se ha demostrado un ataque práctico que manipuló agentes de Anthropic, Google y GitHub para que filtraran credenciales dentro del propio GitHub; las tres compañías pagaron recompensas por los hallazgos: Anthropic $100 (resuelto el 25/11/2025), Google $1.337 (resuelto el 20/1/2026) y GitHub $500 (cerrado el 9/3/2026), según la investigación liderada por Aonan Guan y colaboradores de Johns Hopkins.
¿Qué es “Comment and Control” y cómo funciona?
El hallazgo que bautizaron como “Comment and Control” aprovecha que los agentes leen contenido de GitHub (títulos de pull request, incidencias, comentarios o incluso comentarios HTML invisibles) y lo integran como contexto de trabajo. Con instrucciones escondidas en ese contenido, el agente interpreta la directiva como parte de su tarea y ejecuta acciones, devolviendo resultados dentro del mismo repositorio. Los investigadores demostraron que ese canal interno puede servir para exfiltrar GEMINI_API_KEY, tokens de GitHub y otros secretos, porque los agentes suelen tener acceso a herramientas y credenciales para automatizar flujos. El patrón se mostró reproducible en tres implementaciones concretas: Claude Code Security Review (Anthropic), Gemini CLI Action (Google) y GitHub Copilot Agent (GitHub), según el reporte de Aonan Guan y los investigadores Zhengyu Liu y Gavin Zhong.
¿Qué corrigieron las empresas y qué quedó por aclarar?
Las tres compañías respondieron con pagos a los investigadores, pero la comunicación pública fue desigual. Anthropic resolvió el caso el 25/11/2025 y pagó 100 dólares; Google recompensó el hallazgo el 20/1/2026 con 1.337 dólares; GitHub cerró el caso el 9/3/2026 con 500 dólares, datos consignados en la investigación. Esos parches llegaron en un lapso de 104 días entre la primera y la última corrección (25/11/2025 a 9/3/2026). Sin embargo, según The Register y la propia investigación, no hubo avisos públicos ni asignación de CVE en el momento del informe, lo que deja a usuarios que no revisan changelogs vulnerables a seguir expuestos. Además, la gravedad práctica depende de la configuración: por defecto GitHub Actions no expone secretos a pull requests desde forks (según la documentación de GitHub Actions), pero despliegues con permisos amplios sí pueden estar en riesgo.
¿Tengo que preocuparme por mis repositorios en Argentina?
Sí, si su repositorio ejecuta agentes que procesan contenido enviado por colaboradores no confiables y esos agentes tienen acceso a secretos. El riesgo no es teórico: los ataques demostrados filtraron claves de API y tokens dentro del mismo flujo de trabajo. Para organizaciones argentinas y latinoamericanas esto es relevante porque muchas PyMEs y proyectos OSS usan GitHub Actions y a veces delegan permisos para agilizar despliegues. No todas las cuentas monitorean parches técnicos con regularidad; sin un aviso público muchos administradores no sabrán que su configuración es vulnerable. Recomendamos revisar políticas de exposición de secretos y auditar quién puede ejecutar workflows que acceden a credenciales, y confirmar si se usan agentes que interpretan contenido (títulos, issues, comentarios) como instrucciones.
Qué medidas pedir y por qué exigimos métricas, docs en español y revisión humana
La lección técnica es clásica: aplicar principio de mínimo privilegio y listas blancas de permisos. Un agente que solo revisa código no necesita credenciales para escribir despliegues ni acceso a secretos de producción. Pero además de soluciones técnicas, exigimos transparencia y gobernanza. Apoyamos iniciativas técnicas responsables de Anthropic y Google, pero pedimos métricas públicas sobre alcance de la mitigación, documentación en español para que equipos en la región entiendan riesgos y pasos, y gobernanza que incluya revisión humana antes de desplegar agentes con permisos sensibles. Sin métricas y comunicación pública hay un hueco de información que perjudica a usuarios y administradores. La seguridad acá no es solo código: es comunicación y responsabilidad corporativa.
