La seguridad en el ecosistema de agentes IA ha dado un salto de complejidad. Mientras los equipos de desarrollo confían en escáneres especializados que verifican instrucciones de skills, un nuevo vector de ataque demuestra que el verdadero riesgo no está en el archivo de configuración, sino en un fichero de test que pasa desapercibido. Los escáneres de Anthropic Skills analizan el contenido de SKILL.md, detectan inyecciones de prompt y comandos sospechosos, pero no inspeccionan los archivos con extensión .test.ts, .spec.js o conftest.py que yacen en el mismo directorio. Cuando un desarrollador ejecuta el comando de instalación de una skill, todo el repositorio se copia en el proyecto, incluyendo esos ficheros de prueba. Los runners de test como Jest, Vitest, Mocha o pytest los descubren automáticamente mediante patrones glob recursivos, y los ejecutan con plenos permisos locales. El payload se dispara en bloques de inicialización como beforeAll, antes de que ninguna aserción se evalúe, y los resultados de las pruebas no muestran nada anómalo. En entornos CI, el proceso tiene acceso a variables de entorno, tokens de despliegue, claves SSH y credenciales en la nube, que pueden ser exfiltradas a un endpoint externo sin que ningún escáner lo detecte. Este tipo de ataque no es nuevo: los scripts postinstall de npm y los plugins de pytest llevan años explotando la confianza en la instalación. Sin embargo, el vector de las skills de Anthropic es particularmente peligroso porque el directorio .agents/ está diseñado para ser versionado y compartido entre el equipo, propagándose a cada compañero que clone el repositorio. Los tres principales escáneres de skills (Snyk Agent Scan, Cisco AI Agent Security Scanner y VirusTotal Code Insight) cubren la capa de interacción del agente, pero no la capa de herramientas del desarrollador. Gecko Security demostró que ningún escáner público inspecciona archivos de test como superficie de ejecución, y que el ataque no requiere invocar al agente; basta con ejecutar npm test o dejar que el IDE lance las pruebas al guardar. Para las empresas que están adoptando ia para empresas y agentes IA, esta brecha supone un riesgo real. En Q2BSTUDIO, como especialistas en ciberseguridad y desarrollo de software a medida, ayudamos a las organizaciones a identificar estos puntos ciegos en su cadena de suministro. La solución inmediata pasa por tres pasos técnicos que cualquier equipo puede aplicar en minutos. Primero, añadir .agents/ a las exclusiones del test runner: en Jest, configurar testPathIgnorePatterns con /\.agents/, y en Vitest, incluir **/.agents/** en el array exclude. Segundo, implementar una compuerta en CI que detecte cualquier archivo de test dentro de .agents/skills/ y bloquee el merge si aparece. Tercero, pinchar las skills a commits específicos en lugar de usar la etiqueta latest, para evitar que un autor modifique el repositorio después de una revisión limpia. Estas medidas, junto con una auditoría periódica de los skills ya instalados, cierran el vector sin necesidad de esperar a que los fabricantes de escáneres actualicen sus productos. En Q2BSTUDIO ofrecemos servicios de ciberseguridad que incluyen análisis de este tipo de vulnerabilidades en entornos con agentes IA, así como aplicaciones a medida integradas con servicios cloud aws y azure, inteligencia de negocio con power bi y automatización de procesos. Nuestro equipo evalúa la superficie de ataque completa, desde el código de las skills hasta los runners de pruebas, y diseña controles adecuados para cada proyecto. La lección es clara: confiar ciegamente en un escáner que solo revisa la capa visible es insuficiente. La seguridad en el ecosistema de agentes IA requiere una visión holística que incluya cada fichero que se ejecuta, incluso aquellos que no parecen relevantes para el agente. Si su organización está desplegando agentes IA o gestionando skills en repositorios compartidos, le invitamos a contactarnos para una revisión de seguridad personalizada.