CodeQL ya detecta la inyección en system prompts: lleva la seguridad de IA al flujo de datos de CI

Tech

CodeQL 2.26.0 convierte la frontera entre entradas de usuario, instrucciones de sistema y descripciones de herramientas en un problema verificable.

CodeQL 2.26.0 convierte la frontera entre entradas de usuario, instrucciones de sistema y descripciones de herramientas en un problema verificable.
El análisis estático es solo una capa. El contenido indirecto de web, correo o RAG necesita evaluaciones adversarias; las herramientas requieren autorización, aislamiento por tenant y aprobación del lado del servidor.

Qué ocurrió

GitHub publicó CodeQL 2.26.0 el 10 de julio de 2026. La consulta `js/system-prompt-injection` sigue valores no confiables hasta system prompts y descripciones de herramientas.

Por qué importa

La consulta modela APIs de OpenAI, Anthropic y Google GenAI. La recomendación es pasar texto libre como mensaje de usuario o parámetro estructurado y limitar instrucciones dinámicas con allowlists fijas.

Señales de la comunidad

El análisis estático es solo una capa. El contenido indirecto de web, correo o RAG necesita evaluaciones adversarias; las herramientas requieren autorización, aislamiento por tenant y aprobación del lado del servidor.

Impacto en desarrollo y operaciones

Empieza en modo auditoría, bloquea después rutas nuevas de alta confianza y repite el análisis cuando cambien modelo, SDK, prompt o herramientas.

Lista para esta semana

Actualiza el bundle de CodeQL.

Mueve texto libre a mensajes de usuario o parámetros estructurados.

Aplica permisos mínimos y aprobación en el servidor.

Riesgos y objeciones

Empieza en modo auditoría, bloquea después rutas nuevas de alta confianza y repite el análisis cuando cambien modelo, SDK, prompt o herramientas.

Fuentes