Security Considerations for Artificial Intelligence Agents

Este artículo, basado en la experiencia de Perplexity con sistemas de agentes de IA, analiza las nuevas vulnerabilidades de seguridad introducidas por estas arquitecturas, mapea sus superficies de ataque y propone un enfoque de defensa en capas junto con brechas de investigación para alinear el diseño de sistemas multiagente con los principios de gestión de riesgos del NIST.

Lo esencial

¡Claro que sí! Imagina que este documento es como un manual de seguridad para un nuevo tipo de empleado digital que las empresas están contratando: los Agentes de Inteligencia Artificial.

Perplexity (la empresa que escribió esto) le está diciendo al gobierno de EE. UU. (NIST): "Oigan, estos nuevos empleados son increíbles, pero tienen una forma muy extraña de pensar y actuar que hace que las reglas de seguridad antiguas no funcionen bien. Aquí les explicamos por qué y cómo protegerlos".

Aquí tienes la explicación, traducida a un lenguaje sencillo y con analogías divertidas:

---

1. ¿Qué es un Agente de IA y por qué es peligroso?

Imagina que el software tradicional es como un tren en una vía férrea. El tren solo puede ir por donde están los rieles. Si alguien intenta empujarlo hacia un árbol, no puede hacerlo porque los rieles lo impiden. Es predecible y seguro.

Un Agente de IA es diferente. Es como un chofer de taxi autónomo con superpoderes.

• No tiene rieles fijos: El chofer puede decidir tomar cualquier camino si tú le das una dirección general (ej. "Ve al aeropuerto").
• Confunde las instrucciones con el mapa: En los ordenadores normales, las instrucciones (el código) y la información (los datos) están separados. Pero en la IA, las instrucciones son texto, y el texto puede venir de cualquier lugar (un correo, una web, un mensaje).
  • La analogía: Es como si el chofer leyera un cartel en la carretera que dice "Gira a la izquierda" y lo obedeciera, sin saber que ese cartel fue puesto por un ladrón para robar tu coche. La IA no distingue fácilmente entre una orden segura y un truco malicioso escondido en un texto.

2. Los Tres Grandes Miedos (Confidencialidad, Integridad, Disponibilidad)

El documento explica tres formas en las que estos agentes pueden fallar:

• Confidencialidad (El secreto a voces):
  • Analogía: Imagina que le das a tu chofer autónomo las llaves de tu casa, tu cuenta bancaria y tu diario personal para que haga recados. Si un hacker logra convencer al chofer de que "es una orden urgente" de leer tu diario y enviárselo a un extraño, ¡se acabó la privacidad! Los agentes tienen acceso a mucha información sensible y, si se confunden, la pueden filtrar.
• Integridad (El sabotaje silencioso):
  • Analogía: El chofer decide comprar comida para la oficina. Un hacker le envía un mensaje falso que dice "Compra en la tienda A, es más barata". El chofer obedece, pero la tienda A en realidad es una trampa y le vende comida envenenada. El agente hizo lo que le pidieron, pero el resultado fue malo porque fue manipulado.
• Disponibilidad (El atasco total):
  • Analogía: Si le pides al chofer que haga 1,000 viajes a la vez o que se quede esperando en un semáforo que nunca cambia, el sistema se bloquea. Los agentes pueden quedarse atrapados en bucles infinitos o consumir todos los recursos, dejando el sistema inutilizable para todos.

3. El Problema de los "Agentes en Equipo" (Multi-Agentes)

A veces, no usamos un solo agente, sino un equipo.

• Analogía: Imagina un jefe de obra (Agente A) que le da órdenes a un albañil (Agente B).
  • El problema es el "Confundido": Un hacker engaña al Jefe de Obra para que le diga al Albañil: "¡Rompe esa pared!". El Albañil obedece porque el Jefe le dio la orden, pero el Jefe no sabía que la orden era mala.
  • En el mundo de la IA, un agente con pocos permisos puede engañar a otro agente con muchos permisos para que haga cosas prohibidas. Es como si un pasante le pidiera al director de la empresa que transfiera millones de dólares, y el director lo hiciera porque el pasante "parecía tener una orden importante".

4. ¿Cómo nos protegemos? (La Estrategia de "Defensa en Capas")

El documento dice que no podemos confiar en una sola medida de seguridad. Necesitamos un castillo con varias murallas:

1. Capa 1: El Filtro de Entrada (Detectar trampas):

   • Es como un guardia en la puerta que revisa si alguien trae un arma oculta. Intenta detectar si un texto es una orden maliciosa antes de que entre al cerebro de la IA.
   • Problema: A veces el guardia se equivoca y detiene a gente inocente (falsos positivos), o se cansa y deja pasar a los malos.

2. Capa 2: El Cerebro Entrenado (La IA más inteligente):

   • Es como enseñarle al chofer a ser más astuto. Se entrena a la IA para que entienda mejor quién es el jefe y quién es un extraño.
   • Problema: La IA sigue siendo un poco "borrosa" y a veces puede ser engañada si el truco es muy inteligente.

3. Capa 3: La Caja Fuerte (Ejecución Determinista):

   • Esta es la más importante. Es como ponerle al chofer un candado en el volante para ciertas acciones.
   • Analogía: Aunque el chofer (la IA) quiera ir a la luna, el coche tiene un sistema mecánico que físicamente no le permite girar el volante hacia la luna si no hay un permiso humano.
   • Esto significa que, antes de que la IA haga algo peligroso (como borrar un archivo o transferir dinero), un sistema de reglas fijas (código normal, no IA) revisa: "¿Tiene permiso? ¿Está dentro del límite?". Si la respuesta es "No", el sistema lo bloquea, sin importar lo que la IA piense.

5. ¿Qué falta por hacer?

El documento termina pidiendo ayuda para crear mejores reglas:

• Pruebas más reales: No basta con probar la seguridad en un laboratorio quieto. Hay que probarla en un entorno caótico donde los hackers intenten engañar a los agentes en tiempo real.
• Reglas de "Quién puede hacer qué": Necesitamos nuevas leyes digitales para decirle a los agentes: "Tú puedes leer el correo, pero no puedes borrarlo".
• El factor humano: A veces, la IA debe preguntar: "Oye, esto parece arriesgado, ¿quieres que lo haga?". Pero si le preguntamos demasiado, la gente se cansa y dice "Sí" sin pensar. Hay que encontrar el equilibrio perfecto.

En resumen

La IA es como un super-ayudante muy rápido y creativo, pero que a veces es demasiado obediente y no sabe distinguir entre una orden real y una broma malvada.

Para que sea seguro, no basta con confiar en su inteligencia. Necesitamos:

1. Filtros para detectar trampas.
2. Entrenamiento para que sea más listo.
3. Candados mecánicos (reglas fijas) que impidan que haga daño, incluso si la IA quiere hacerlo.

Y sobre todo, nunca dejar que el chofer autónomo tenga las llaves de todo el coche sin supervisión.

Resumen técnico

A continuación presento un resumen técnico detallado del documento "Consideraciones de Seguridad para Agentes de Inteligencia Artificial", preparado por Perplexity como respuesta a la solicitud de información del NIST/CAISI (2025-0035).

1. El Problema: Nuevos Paradigmas de Amenazas en Agentes IA

El documento identifica que los sistemas de agentes de IA, especialmente aquellos impulsados por Modelos de Lenguaje Grande (LLM), rompen los principios fundamentales de seguridad informática tradicionales, creando vulnerabilidades únicas que no existen en el software convencional:

• Borrado de la línea entre Código y Datos: En la arquitectura de von Neumann y el software tradicional, el código (instrucciones) y los datos están estrictamente separados. En los agentes de IA, los "prompts" (datos) actúan como código, controlando el flujo de ejecución. Dado que el contenido generado dinámicamente puede convertirse en un nuevo prompt, el flujo de control depende de cargas útiles desconocidas hasta el momento de la ejecución, eliminando la distinción binaria entre código y datos.
• Automatización Flexible y No Determinista: A diferencia del software preprogramado, los agentes pueden construir flujos de trabajo dinámicamente, elegir herramientas y generalizar a situaciones no vistas. Esto otorga capacidades amplias (acceso a archivos, APIs, transacciones financieras) pero hace que el razonamiento sobre los estados alcanzables y la verificación formal de la seguridad sean extremadamente difíciles debido a la opacidad y no determinismo de la lógica impulsada por LLM.
• Incompatibilidad de Mecanismos de Seguridad Existentes: Las defensas actuales (como el principio de menor privilegio o el aislamiento en navegadores) asumen un comportamiento humano o determinista. Los agentes operan a velocidad de máquina, pueden tomar decisiones autónomas y heredar privilegios de usuarios humanos, lo que requiere nuevos modelos de seguridad.
• Amenazas Específicas:
  • Inyección Indirecta de Prompts: Un adversario inserta instrucciones maliciosas en contenido externo (webs, correos) que el agente procesa, manipulando su comportamiento sin interacción directa.
  • Comportamiento de "Subordinado Confundido" (Confused Deputy): Un agente con privilegios limitados es manipulado para que instruya a un agente con mayores privilegios a realizar acciones no autorizadas.
  • Fallos en Cascada: En sistemas multi-agente, el fallo de un componente puede propagarse a través de espacios de trabajo compartidos, causando bucles de reintento, consumo de recursos o corrupción de datos.

2. Metodología y Enfoque Analítico

El documento no presenta un nuevo algoritmo experimental, sino que ofrece un marco analítico basado en la experiencia operativa de Perplexity con sistemas agénicos de propósito general y una revisión de la literatura de seguridad. La metodología se estructura en:

• Modelado de Amenazas Basado en la Tríada CIA: Evaluación de riesgos bajo los principios de Confidencialidad, Integridad y Disponibilidad.
• Análisis de Superficies de Ataque: Mapeo de vectores de ataque a través de herramientas, conectores, límites de alojamiento (cloud/on-premise) y coordinación multi-agente.
• Arquitectura de Defensa en Profundidad: Propuesta de una pila de seguridad estratificada que combina mitigaciones a nivel de entrada, modelo y sistema.
• Estudio de Casos y Referencias: Uso de ejemplos concretos (como la plataforma de código abierto OpenClaw y sus CVEs asociados) para ilustrar cómo las decisiones arquitectónicas afectan la seguridad.

3. Contribuciones Clave

El documento aporta las siguientes contribuciones técnicas y conceptuales:

1. Taxonomía de Vulnerabilidades Agénticas: Define claramente cómo la fusión de código y datos en LLMs crea nuevas clases de fallos, como la incapacidad de distinguir instrucciones confiables de datos no confiables en tiempo de ejecución.
2. Arquitectura de Defensa en Profundidad (Capas de Seguridad): Propone una estrategia de tres capas que debe implementarse conjuntamente:
   • Nivel de Entrada: Detección y filtrado de inyecciones de prompts (aunque se advierte sobre la alta tasa de falsos positivos y el costo computacional).
   • Nivel de Modelo: Mejora de la jerarquía de instrucciones mediante embeddings separados para roles (sistema, usuario, datos) para reforzar la autoridad, reconociendo que esto no es una garantía absoluta.
   • Nivel de Ejecución (Sistema): La capa más crítica. Implica la ejecución en entornos aislados (sandbox) y, crucialmente, la implementación de mecanismos de aplicación determinista (código verificable) que actúen como última línea de defensa. Esto incluye listas de permitidos/bloqueados, límites de velocidad y validación de esquemas antes de que el agente ejecute acciones críticas.
3. Guía para Sistemas Multi-Agente: Identifica riesgos específicos en arquitecturas distribuidas, como la delegación implícita y la dificultad de auditoría debido a la distribución de la responsabilidad entre múltiples agentes.
4. Recomendaciones de Política y Estándares: Aboga por la creación de nuevos estándares (más allá de protocolos de comunicación básicos como MCP) que aborden la gestión de privilegios, la delegación segura y la confianza entre agentes.

4. Resultados y Hallazgos Principales

• Ineficacia de Soluciones Únicas: Ninguna capa de defensa por sí sola es suficiente. Los modelos de IA son inherentemente probabilísticos y pueden ser engañados; por lo tanto, la seguridad debe depender de controles deterministas externos.
• El Problema de la Base Rate: Las técnicas de detección de inyección de prompts en la entrada sufren del "falacia de la tasa base": dado que la mayoría de las entradas son benignas, incluso una baja tasa de falsos positivos genera una gran cantidad de alertas falsas, degradando la utilidad del sistema.
• Necesidad de Controles Deterministas: La conclusión técnica más fuerte es que los sistemas de agentes deben tener una capa de "última línea de defensa" que no dependa del razonamiento del LLM. Las acciones de alto impacto deben estar sujetas a políticas verificables por código (ej. "no permitir transacciones > $X sin confirmación humana").
• Desafíos de la Interacción Humana: La dependencia excesiva de la confirmación humana para cada acción crítica lleva a la fatiga del usuario y a la aprobación automática, debilitando la seguridad. Se propone un enfoque de "autonomía consciente del riesgo" donde la confirmación solo se solicita si el riesgo estimado supera un umbral definido por el usuario.

5. Significado e Impacto

Este documento es significativo por varias razones:

• Cambio de Paradigma en Seguridad: Marca la transición de la seguridad de software tradicional (basada en reglas estáticas y separación estricta de código/datos) a la seguridad de sistemas agénticos (basada en gestión de riesgos dinámicos, aislamiento y supervisión determinista).
• Hoja de Ruta para NIST y la Industria: Proporciona una base técnica sólida para que organismos como NIST desarrollen marcos de gestión de riesgos específicos para agentes, identificando brechas de investigación críticas como métricas de seguridad adaptativas y modelos de control de acceso híbridos (RBAC + control de riesgo).
• Priorización de la Investigación: Señala que la investigación futura no debe centrarse solo en hacer a los LLMs más robustos, sino en desarrollar arquitecturas de sistema que asuman que el LLM puede fallar o ser manipulado, y que deben contener el daño mediante aislamiento y políticas estrictas.
• Adopción Empresarial: Ofrece a las empresas que despliegan agentes una guía práctica para evaluar sus arquitecturas, destacando que las decisiones de alojamiento (cloud vs. edge) y diseño de herramientas son factores de seguridad de primer orden.

En resumen, el documento argumenta que la seguridad de los agentes de IA no se logra mejorando únicamente el modelo, sino mediante una arquitectura de defensa en profundidad que integre controles deterministas, aislamiento estricto y una gestión de riesgos adaptativa, reconociendo que la no determinismo de la IA es una característica inherente que debe ser contenida, no solo corregida.