El CEO de CertiK advierte sobre los riesgos de seguridad de los Agentes de IA a medida que el despliegue supera el aislamiento

La advertencia sobre los riesgos de seguridad de los agentes de IA se vuelve cada vez más clara y urgente. Ronghui Gu, cofundador y CEO de CertiK, afirma que la prisa por desplegar agentes de IA autónomos en aplicaciones, redes y sistemas financieros avanza más rápido que los controles de seguridad básicos necesarios para contenerlos.

Esto importa porque estos sistemas ya no se limitan a responder preguntas en un chat. Gu señala que cada vez se les permite leer archivos locales, llamar a herramientas externas, activar flujos de trabajo e interactuar con cuentas sensibles. En la práctica, eso significa que un agente comprometido no es solo un asistente defectuoso. Puede convertirse en una amenaza interna con acceso a credenciales, correo electrónico e incluso infraestructura financiera.

El mensaje de Gu es contundente: no los despliegues masivamente de esta manera. Argumenta que los agentes de IA deben ser analizados en busca de virus y aislados antes de que se les conceda acceso a datos sensibles o sistemas críticos. Sin esa separación, advierte, los usuarios y las empresas pueden estar entregando un amplio acceso interno a software que puede ser manipulado con mucha más facilidad de lo que muchos esperan.

Por qué CertiK afirma que los riesgos de seguridad de los agentes de IA se acumulan rápidamente

La visión de CertiK es que la oleada actual de despliegue de agentes está generando un grave problema de seguridad. Gu lo describe como una carrera que acumula una gran deuda de seguridad, impulsada por el entusiasmo por la automatización mientras las protecciones básicas quedan rezagadas.

En el centro de esa advertencia está la confianza. Muchas herramientas de IA de código abierto, argumenta Gu, se consideran seguras porque se ejecutan localmente o se conectan a través de canales familiares, incluidas aplicaciones de chat estándar como WhatsApp. Sin embargo, el acceso local no hace que un agente sea de confianza. Una vez que los usuarios permiten que un agente inspeccione el almacenamiento, vea historiales de ejecución o utilice credenciales personales y empresariales, el software puede llegar profundamente a las áreas más sensibles de un sistema.

Esa es una de las razones por las que los riesgos de seguridad de los agentes de IA están atrayendo más atención más allá del círculo habitual de ciberseguridad. No se trata solo de malware en el sentido tradicional. Se trata de sistemas autónomos a los que se les da permiso para actuar, recuperar información y moverse por flujos de trabajo antes de haber sido debidamente verificados o contenidos.

Cómo los agentes de IA no aislados pueden ser secuestrados

La advertencia de CertiK se centra especialmente en la facilidad con la que estos sistemas pueden ser redirigidos. Gu afirma que los agentes no aislados pueden exponer archivos locales, credenciales, cuentas de correo electrónico y cuentas financieras. Una vez que un agente tiene ese nivel de acceso, el daño derivado de un compromiso ya no es teórico. Un bot manipulado puede ser capaz de exfiltrar datos o provocar transferencias de fondos no autorizadas.

Ataques de inyección de instrucciones a través de archivos ordinarios

Una de las amenazas más claras son los ataques de inyección de instrucciones. Según Gu, se pueden insertar instrucciones ocultas dentro de contenido que parece inofensivo, incluida una página web, un documento PDF o un correo electrónico entrante.

Cuando un agente de IA lee ese contenido para completar una tarea, puede no distinguir las instrucciones de confianza de las entradas externas no confiables. En ese momento, el comportamiento del agente puede ser redirigido silenciosamente. No aparece ningún aviso obvio de malware en pantalla. No surge ninguna advertencia dramática. En cambio, el sistema comienza a seguir las instrucciones del atacante en lugar de las reglas originales.

Esa es una razón fundamental por la que este problema importa ahora. Para muchos usuarios, un documento o correo electrónico de aspecto inofensivo no parece una amenaza a nivel de sistema. Pero con herramientas autónomas, esos archivos ordinarios pueden convertirse en el canal a través del cual el agente es secuestrado.

Habilidades maliciosas y dependencias falsas

CertiK también señala que el ecosistema en torno a los agentes ya muestra debilidades estructurales más profundas. Su análisis encontró cientos de avisos de seguridad críticos y vulnerabilidades y exposiciones comunes (CVE) sin parchear en las estructuras de los agentes, junto con credenciales expuestas.

Además, Gu afirma que CertiK descubrió habilidades maliciosas, instaladores falsos y paquetes de dependencias similares en centros de utilidades de agentes abiertos. No son solo errores de codificación descuidados. Apuntan a un entorno donde los atacantes pueden manipular la forma en que los agentes se construyen, actualizan y extienden.

Lo que hace que esto sea más difícil de detectar es la manera en que operan estas amenazas. Gu afirma que los complementos maliciosos pueden eludir los análisis antivirus tradicionales porque influyen en el comportamiento del agente a través del lenguaje natural estándar en lugar de patrones más antiguos basados en firmas. En términos simples, el agente puede ser engañado para hacer lo incorrecto sin que el ataque parezca malware clásico.

Por qué CertiK impulsa la arquitectura Zero Trust

La respuesta de Gu es una arquitectura Zero Trust con verificación continua. En lugar de asumir que un agente, complemento o dependencia es seguro una vez instalado, cada comando y dependencia debe verificarse de forma continua.

Ese enfoque se ajusta a la escala del problema que CertiK afirma estar observando. El análisis de la empresa encontró:

• cientos de avisos de seguridad críticos
• CVEs sin parchear
• credenciales expuestas en estructuras de agentes
• rutas de ataque que involucran archivos locales, correo electrónico e infraestructura financiera

Aquí es donde cobra mayor relevancia la importancia más amplia. Los riesgos de seguridad de los agentes de IA no se limitan a una sola aplicación defectuosa o a un usuario comprometido. Apuntan a un modelo en el que la autonomía se expande antes de que el aislamiento, el análisis y la verificación se conviertan en práctica estándar. Si estas herramientas están destinadas a gestionar dinero, flujos de trabajo empresariales o datos privados, entonces la confianza no puede tratarse como una configuración predeterminada.

También hay un ángulo cripto que ayuda a explicar por qué CertiK está dando la alarma ahora. Gu afirma que la empresa ha observado estafas en cadena rápidas y efímeras diseñadas para atacar bots de trading de IA y sistemas de agentes automatizados. Estas estafas pueden ejecutarse durante solo 10 minutos o unas pocas horas antes de desaparecer.

Ese detalle es revelador. Los sistemas impulsados por máquinas pueden operar a una velocidad que deja poco tiempo para la revisión humana, y los atacantes parecen estar adaptándose a esa realidad. En efecto, los agentes automatizados se están convirtiendo en objetivos del fraude automatizado. El resultado es un nuevo tipo de ciclo de ataque máquina contra máquina, especialmente en entornos vinculados a la actividad en cadena y el movimiento automatizado de fondos.

Por qué la advertencia de CertiK destaca ahora

La advertencia de CertiK llega en un momento en que los agentes de IA se comercializan como herramientas de productividad y asistentes digitales. Sin embargo, el argumento de Gu es que la capacidad está avanzando por delante de la contención. Cuanto más se permite que estos sistemas toquen archivos, credenciales y dinero, menos margen hay para las suposiciones de seguridad informales.

Su prescripción es sencilla: analizar los agentes en busca de virus, aislarlos antes de conceder acceso y dejar de tratar la autonomía como segura por defecto.

Si ese consejo se ignora, la próxima oleada de ataques puede no depender primero de engañar a las personas. Puede ir directamente tras los agentes que actúan en su nombre.