Security Considerations for Multi-agent Systems

Este estudio caracteriza sistemáticamente el panorama de amenazas de los sistemas de inteligencia artificial multiagente (MAS) y evalúa cuantitativamente 16 marcos de seguridad, revelando que ninguno cubre la mayoría de las categorías de riesgo y destacando la necesidad urgente de nuevas estrategias para abordar vulnerabilidades únicas como la no determinación y la filtración de datos.

Lo esencial

¡Hola! Imagina que el mundo de la Inteligencia Artificial (IA) ha dado un gran salto. Antes, teníamos "chatbots" que eran como asistentes personales muy inteligentes pero un poco torpes: solo respondían preguntas y no podían hacer nada por sí mismos.

Pero ahora, en 2026, tenemos Sistemas Multi-Agente (MAS). Imagina que en lugar de un solo asistente, has contratado a una empresa completa de robots.

• Un robot investiga.
• Otro escribe el código.
• Un tercero revisa los errores.
• Y un cuarto coordina a todos.

El problema es que estos robots no solo hablan contigo; hablan entre ellos, comparten memorias, se pasan herramientas y toman decisiones autónomas. Y aquí es donde entra este documento: es un manual de seguridad para evitar que esta "empresa de robots" se vuelva loca o sea hackeada.

Aquí te explico los puntos clave con analogías sencillas:

1. El Nuevo Peligro: "El Efecto Dominó"

En los sistemas antiguos, si un robot fallaba, solo fallaba ese robot. En los nuevos sistemas, si un robot es engañado, puede contaminar a todos los demás.

• Analogía: Imagina una fila de personas pasando un mensaje. Si la primera persona le susurra una mentira a la segunda, y la segunda se lo cuenta a la tercera, al final todos creen la mentira. En la IA, si un agente recibe una instrucción maliciosa, puede pasarla a sus compañeros como si fuera un hecho verdadero. A esto los autores lo llaman "Confianza entre Agentes".

2. Los 193 Formas de Atacar (La Lista de la Compras del Malvado)

Los autores han creado una lista gigante de 193 formas en que los hackers podrían atacar a estos sistemas. Han dividido estos ataques en 9 categorías principales. Aquí te doy los más importantes con ejemplos:

• Envenenamiento de la Memoria (Memory Poisoning):

  • La analogía: Imagina que le pones una nota falsa en la agenda de un detective: "Siempre confía en el Sr. X". El detective no sabe que la nota fue puesta por un criminal. Ahora, cada vez que ve al Sr. X, le abre la puerta.
  • En la IA: Los hackers inyectan instrucciones falsas en la memoria compartida de los agentes. Cuando el agente lee su memoria, cree que esas instrucciones son verdaderas y actúa en consecuencia.

• Fugas de Datos (Data Leakage):

  • La analogía: Es como si tu asistente personal escribiera un diario de todo lo que haces, pero dejara las páginas abiertas en la mesa de la sala. Además, el asistente habla en voz alta mientras escribe, y todo el vecindario (otros agentes) puede escuchar.
  • En la IA: Como los agentes comparten conversaciones y contextos, información privada (contraseñas, datos de clientes) se filtra a través de los canales de comunicación entre ellos o se queda guardada en registros que no deberían existir.

• El "Cerebro" que no es Determinista (Non-Determinism):

  • La analogía: Imagina un chef que cocina el mismo plato dos veces. La primera vez sale perfecto. La segunda vez, por un pequeño cambio en la temperatura o el movimiento de su mano, le echa sal en lugar de azúcar. No puedes predecir exactamente qué hará.
  • En la IA: Los agentes de IA no son máquinas de calcular exactas; son probabilísticos. A veces toman decisiones diferentes con la misma información. Esto hace que sea casi imposible probar si un sistema es seguro, porque el ataque podría funcionar solo el 1% de las veces, pero cuando funciona, es catastrófico.

• Ataques Económicos (Denial of Wallet):

  • La analogía: Imagina que tienes un robot que te ayuda a comprar. Un hacker le dice: "Compra 1 millón de ladrillos para construir una casa". El robot lo hace, pero no te avisa hasta que la factura llega.
  • En la IA: Los agentes gastan dinero (en tokens de IA, llamadas a APIs). Los hackers pueden engañarlos para que hagan tareas infinitas o muy costosas, agotando tu presupuesto sin que te des cuenta.

3. ¿Qué dicen los "Manuales de Seguridad"? (Los Marcos de Trabajo)

Los autores revisaron 16 manuales de seguridad diferentes (como las reglas de un juego) para ver cuál protege mejor a estos robots.

• El Ganador: El OWASP Agentic Security Initiative es el que mejor lo hace (cubre el 65% de los problemas). Es como el manual de seguridad más completo y actualizado para esta nueva era.
• El Segundo: El CDAO GenAI Toolkit (del Departamento de Defensa de EE. UU.) es muy bueno en la parte de desarrollo y operación diaria.
• El Problema: Ningún manual cubre todo. Hay áreas donde nadie tiene respuesta, especialmente en cómo funcionan los algoritmos de planificación compleja (como el Monte Carlo Tree Search) y cómo se comportan los sistemas cuando no son 100% predecibles.

4. La Conclusión: No hay "Bala de Plata"

El mensaje final es que la seguridad tradicional (como poner un candado en la puerta) no funciona para estos sistemas.

• Antes: Protegías el código.
• Ahora: Tienes que proteger el comportamiento, la memoria compartida y la confianza entre los robots.

En resumen:
Este documento es una llamada de atención. Nos dice que los sistemas de IA multi-agente son como una orquesta de robots: si el director (el orquestador) es engañado, toda la orquesta tocará la música equivocada. Necesitamos nuevas reglas, nuevos candados y mucha vigilancia humana para asegurarnos de que estos robots sigan sirviéndonos y no nos destruyan (o nos queden la cuenta bancaria).

Es un trabajo de investigación serio que nos ayuda a entender que, en el futuro, la seguridad no será solo sobre "hackers rompiendo cerraduras", sino sobre evitar que los robots se engañen a sí mismos y a nosotros.

Resumen técnico

Aquí presento un resumen técnico detallado del documento "Security Considerations for Multi-agent Systems", respondiendo a la solicitud de la NIST RFI 2026-00206 por parte de Crew Scaler.

Resumen Técnico: Consideraciones de Seguridad para Sistemas Multi-Agente (MAS)

1. El Problema: La Brecha de Seguridad en la Era de los Agentes Autónomos

El documento identifica un cambio de paradigma crítico en la inteligencia artificial: la transición de modelos de IA estáticos y deterministas a Sistemas Multi-Agente (MAS) autónomos. Estos sistemas ejercen autoridad delegada sobre herramientas, bases de datos y APIs, planifican tareas de múltiples pasos y coordinan entre sí con intervención humana mínima.

El problema central es que las marcos de seguridad y gobernanza existentes (como NIST AI RMF, MITRE ATT&CK o OWASP LLM) fueron diseñados para sistemas tradicionales con flujos de control deterministas, límites de confianza acotados y ejecución sin estado. Estos marcos fallan al abordar las superficies de ataque cualitativamente distintas de los MAS, tales como:

• Ejecución remota de código a nivel de política (Policy-level RCE): Los atacantes pueden manipular la toma de decisiones del agente para ejecutar herramientas peligrosas sin explotar vulnerabilidades de código subyacentes.
• Envenenamiento de memoria latente: La memoria persistente compartida entre agentes permite que el envenenamiento de un agente se propague a todo el sistema.
• Gusanos de prompts auto-replicantes: Instrucciones maliciosas que se propagan a través de la comunicación entre agentes y el historial de conversaciones.
• No determinismo emergente: El comportamiento estocástico y las interacciones complejas crean superficies de ataque que no pueden ser probadas exhaustivamente mediante métodos tradicionales.

2. Metodología: Un Enfoque de Cuatro Fases

Los autores emplearon una metodología sistemática y exhaustiva para caracterizar el panorama de amenazas y evaluar los marcos de seguridad existentes:

• Fase 1: Construcción de Base de Conocimiento Técnico. Se desarrolló una descripción técnica profunda de arquitecturas MAS de producción, abarcando 86 capítulos sobre fundamentos de agentes, integración de herramientas, protocolos de comunicación (REST, gRPC), bases de datos vectoriales, y fenómenos específicos como dinámicas de Nash y planificación jerárquica.
• Fase 2: Modelado de Amenazas Asistido por IA Generativa. Se utilizó IA para realizar un modelado de amenazas adversarial sobre la base de conocimientos, con la restricción estricta de identificar solo amenazas cualitativamente distintas de los riesgos de agentes individuales. Esto generó ~1,700 amenazas candidatas, validadas posteriormente por un profesional certificado en IA agénica (NVIDIA).
• Fase 3: Planificación de Encuestas a Nivel de Amenaza. Se operacionalizaron las amenazas en un plan de encuesta estructurado, manteniendo la granularidad en cada ítem individual (no solo por categoría) y clasificándolas por madurez (teóricas, PoC, explotadas).
• Fase 4: Ejecución y Análisis Temporal. Se evaluaron 16 marcos de seguridad y gobernanza contra una taxonomía final de 193 ítems de amenazas agrupados en 9 categorías. Cada marco se puntuó en una escala de 3 puntos (1: mínima guía, 2: cobertura moderada, 3: mitigación directa y específica).

3. Contribuciones Clave

El trabajo aporta cuatro contribuciones fundamentales a la comunidad de seguridad de IA:

1. Taxonomía de Amenazas Agénicas: Una taxonomía de 193 amenazas de seguridad derivadas de arquitecturas MAS de producción, explícitamente diferenciadas de los riesgos de sistemas de IA de un solo agente.
2. Análisis Comparativo Cuantitativo: La primera evaluación empírica cruzada de 16 marcos de seguridad, proporcionando puntuaciones de cobertura por categoría, rankings por fase del ciclo de vida (diseño, desarrollo, operación) y puntuaciones de madurez compuesta.
3. Guía de Selección Basada en Evidencia: Identificación de los marcos líderes para diferentes necesidades (ej. OWASP ASI para diseño, CDAO GenAI para operaciones).
4. Caracterización de la Madurez de las Amenazas: Un análisis de cómo las amenazas evolucionan desde la construcción teórica hasta la explotación activa, identificando áreas donde el desarrollo de marcos futuros es más urgente.

4. Resultados Principales

El análisis reveló que ningún marco revisado logra cubrir la mayoría de las amenazas en ninguna categoría individual. Los hallazgos más destacados incluyen:

• Puntuación Promedio Baja: El promedio general de puntuación fue bajo, con No-Determinismo (1.231) y Filtración de Datos (1.340) siendo las áreas más descuidadas.
• Líderes en Cobertura:
  • OWASP Agentic Security Initiative (ASI): Lidera con un 65.3% de cobertura total y domina la fase de diseño. Es el único marco diseñado específicamente para sistemas agénicos.
  • CDAO Generative AI Responsible AI Toolkit: Lidera en las fases de desarrollo y operación, gracias a su enfoque en herramientas de monitoreo y pruebas de adversarios.
  • MITRE ATLAS: Ofrece la segunda mayor proporción de mitigaciones directas (puntuación 3), especialmente en explotación de confianza y arquitectura de flujo de trabajo.
  • ATFAA-SHIELD: Proporciona la mayor especificidad arquitectónica entre los marcos no-OWASP.
• Brechas Críticas: Cinco ítems específicos recibieron una puntuación máxima de 1 en todos los marcos, indicando una ausencia total de cobertura:
  • Explotación de restricciones de recursos y optimización de eficiencia (RATC 10).
  • Filtración de datos a través del estado de planificación MCTS (RDL 29).
  • No-determinismo en planificación HTN y MCTS (RND 25, RND 26).
  • Otros riesgos de explotación de confianza multi-agente (RTE 33).

5. Significado e Implicaciones

Este estudio es fundamental para la industria y los reguladores por varias razones:

• Validación de la Urgencia: Demuestra empíricamente que los marcos de seguridad actuales son insuficientes para proteger sistemas MAS en producción, especialmente frente a amenazas emergentes como la explotación de confianza entre agentes y la inestabilidad no determinista.
• Guía Práctica para Arquitectos: Ofrece una hoja de ruta basada en datos para la selección de marcos de seguridad. Por ejemplo, sugiere utilizar OWASP ASI para la fase de diseño arquitectónico y CDAO GenAI para la implementación de controles operativos y de monitoreo.
• Definición de la Frontera de Investigación: Identifica claramente dónde se necesitan nuevos controles de seguridad, particularmente en la gestión del no-determinismo (MCTS, HTN) y la protección contra la explotación de confianza social entre agentes (AI-to-AI social engineering).
• Impacto en Políticas Públicas: Al responder a una RFI de NIST, el documento proporciona evidencia concreta para informar futuras actualizaciones de estándares federales y guías de ciberseguridad para la IA, destacando la necesidad de pasar de la gobernanza abstracta a controles técnicos específicos para la orquestación de agentes.

En conclusión, el documento establece que la seguridad de los sistemas multi-agente requiere un enfoque radicalmente nuevo que trascienda la protección de modelos individuales, centrándose en la integridad de la orquestación, la verificación de la confianza entre pares y la gestión de la incertidumbre estocástica en entornos distribuidos.