Un portátil de un reportero de la BBC fue hackeado con éxito a través de la plataforma de codificación de IA Orchids, exponiendo una vulnerabilidad de seguridad crítica en su herramienta de "vibe-coding", según múltiples fuentes de noticias. El incidente, demostrado por un investigador de ciberseguridad, resalta los riesgos de otorgar a la IA acceso profundo a los sistemas informáticos, lo que desató un debate dentro de la comunidad de código abierto con respecto a la responsabilidad de la IA. Orchids, una plataforma utilizada por grandes empresas y diseñada para usuarios sin experiencia en codificación, no ha respondido a las solicitudes de comentarios.
La vulnerabilidad permitió al investigador inyectar código malicioso, demostrando el potencial de explotación dentro de las plataformas de IA. Este incidente se produce cuando el mundo tecnológico experimenta cambios, incluida la expansión de Waymo y las actualizaciones de modelos de OpenAI, como señala VentureBeat. La herramienta de "vibe-coding", diseñada para facilitar su uso, creó inadvertidamente un riesgo de seguridad significativo.
Mientras tanto, el rápido despliegue del agente de IA de código abierto OpenClaw ha generado más preocupaciones de seguridad. Según VentureBeat, el agente fue rastreado desde aproximadamente 1.000 instancias hasta más de 21.000 implementaciones expuestas públicamente en menos de una semana. La telemetría de GravityZone de Bitdefender, extraída específicamente de entornos empresariales, confirmó que los empleados estaban implementando OpenClaw en máquinas corporativas con comandos de instalación de una sola línea, otorgando a los agentes autónomos acceso al shell, privilegios del sistema de archivos y tokens OAuth a varios servicios.
VentureBeat también informó que una falla de ejecución de código remoto con un solo clic, CVE-2026-25253, con una calificación CVSS de 8.8, permite a los atacantes robar tokens de autenticación a través de un único enlace malicioso, logrando potencialmente una compromiso completo de la puerta de enlace en milisegundos. Una vulnerabilidad de inyección de comandos separada también representa una amenaza significativa.
En noticias relacionadas, la herramienta de código abierto sql-tap, un visor de tráfico SQL en tiempo real, ofrece un método para inspeccionar consultas y ver transacciones sin cambiar el código de la aplicación, como se detalla en Hacker News. Si bien esta herramienta se centra en la monitorización de bases de datos, los incidentes de Orchids y OpenClaw subrayan los desafíos de seguridad más amplios que surgen del creciente uso de la IA y las herramientas de código abierto.
Discussion
AI Experts & Community
Be the first to comment