El navegador ya no es sólo una ventana a Internet y se está convirtiendo en una herramienta que también opera dentro de la web. En el caso del Modo Agente en ChatGPT Atlas, OpenAI explica que su agente ve páginas y puede realizar acciones, clics y pulsaciones de teclas dentro del navegador, tal como lo haría una persona. La promesa es clara, ayudar en los flujos cotidianos con el mismo contexto y los mismos datos. La consecuencia es también que cuanto más poder concentramos en un agente, más atractivo se vuelve para quien quiera manipularlo.
¿Qué es una inyección rápida? En términos simples, una inyección rápida es una técnica que busca colar instrucciones maliciosas en contenido aparentemente normal para que un sistema de inteligencia artificial las interprete como órdenes legítimas. IBM lo describe como un tipo de ciberataque contra modelos de lenguaje en el que las entradas maliciosas se camuflan como indicaciones válidas para manipular el comportamiento del sistema. El objetivo puede ir desde forzar respuestas inadecuadas hasta provocar fugas de información o desviar una tarea, sin necesidad de explotar las clásicas vulnerabilidades del software.
La raíz del problema es menos “mágica” de lo que parece y más estructural. Muchas aplicaciones de modelos de lenguaje combinan instrucciones del desarrollador y entradas del usuario como cadenas de texto en lenguaje natural, sin una separación rígida por tipo de datos. El modelo decide qué priorizar basándose en patrones aprendidos y el contexto del texto mismo, no porque exista un límite infalible entre «orden» y «contenido». Si una instrucción externa se formula de manera convincente, puede ganar peso aunque no debería hacerlo.
Cuando el contexto se vuelve insondable. El riesgo se amplifica cuando el agente no procesa un solo mensaje, sino que pasa por fuentes muy diferentes dentro de un mismo orden. OpenAI advierte de una superficie prácticamente ilimitada, correos electrónicos y archivos adjuntos, invitaciones de calendario, documentos compartidos, foros, redes sociales y páginas web arbitrarias. En ese viaje, el agente puede encontrar instrucciones poco confiables mezcladas con contenido legítimo. El usuario no siempre ve cada paso, pero el sistema sí lo consume, y ahí es donde puede introducirse la manipulación.
Lo preocupante es que esto puede encajar en flujos de trabajo normales sin generar ninguna alarma obvia. La firma de IA describe un ejemplo en el que un atacante “siembra” una bandeja de entrada con un correo electrónico malicioso y, posteriormente, cuando el usuario solicita una tarea inofensiva, el agente lee ese mensaje durante la ejecución normal. En un caso, el resultado es intencionadamente extremo: el agente acaba enviando un correo electrónico de renuncia en lugar de redactar una respuesta automática. Todo ello gracias a un ataque externo.
Por qué no existe un blindaje perfecto. En ciberseguridad existe una idea ampliamente asumida: ningún sistema es completamente seguro y los marcos OpenAI solicitan la inyección como un problema persistente. En su texto lo formula así: «Esperamos que los atacantes sigan adaptándose. La inyección de avisos, como las estafas y la ingeniería social en la web, difícilmente se resolverá por completo». El objetivo, por tanto, no es prometer invulnerabilidad, sino aumentar el coste del ataque y reducir el impacto cuando algo falla.
En este contexto, los liderados por Sam Altman explican que han desplegado una actualización de seguridad para el agente Atlas motivada por una nueva clase de ataques descubiertos a través de equipo de red interno automatizado. La compañía dice que la entrega incluye un modelo de agente entrenado para adversarios y salvaguardias reforzadas alrededor del sistema, destinadas a mejorar su resistencia a instrucciones no deseadas durante la navegación.
Lo que hacemos todavía importa. OpenAI recomienda utilizar el agente fuera de línea cuando no necesite acceder a sitios con una cuenta y revisar con calma las solicitudes de confirmación de acciones sensibles, como enviar un correo electrónico o completar una compra. También aconseja dar instrucciones explícitas y limitadas, evitando asignaciones demasiado amplias que obliguen al agente a revisar grandes volúmenes de contenido. No elimina el riesgo, pero reduce las oportunidades de manipulación y ayuda a que los controles existentes funcionen según lo diseñado.
Imágenes | Abierto AI
En | Cada cuanto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad
