Connect with us

Líderes de opinión

El Imperativo Sin Secretos: Por Qué Los Modelos De Seguridad Tradicionales Se Rompen Cuando Los Agentes De IA Tocan El Código

mm
Published
Updated

En abril de 2023,  Samsung descubrió que sus ingenieros habían filtrado información sensible a ChatGPT. Pero eso fue accidental. Ahora imagine que esos repositorios de código contenían instrucciones deliberadamente plantadas, invisibles para los humanos pero procesadas por la IA, diseñadas para extraer no solo el código sino todas las claves de API, credenciales de base de datos y tokens de servicio que la IA pudiera acceder. Esto no es hipotético. Los investigadores de seguridad ya han demostrado que estos ataques de “instrucciones invisibles” funcionan. La pregunta no es si esto sucederá, sino cuándo.

El Límite Que Ya No Existe

Durante décadas, hemos construido la seguridad sobre una suposición fundamental: el código es código, y los datos son datos. La inyección de SQL nos enseñó a parametrizar las consultas. La ejecución de scripts entre sitios nos enseñó a escapar las salidas. Aprendimos a construir muros entre lo que los programas hacen y lo que los usuarios ingresan.

Con los agentes de IA, ese límite ha desaparecido.

A diferencia del software determinista que sigue caminos predecibles, los Grandes Modelos de Lenguaje son cajas negras probabilísticas que no pueden distinguir entre instrucciones legítimas de desarrolladores y entradas maliciosas. Cuando un atacante proporciona una solicitud a un asistente de codificación de IA, no está proporcionando solo datos. Está reprogramando la aplicación sobre la marcha. La entrada se ha convertido en el programa en sí.

Esto representa una ruptura fundamental con todo lo que sabemos sobre la seguridad de las aplicaciones. Los cortafuegos tradicionales basados en la sintaxis, que buscan patrones maliciosos como DROP TABLE o <script> tags, fallan por completo contra los ataques de lenguaje natural. Los investigadores han demostrado técnicas de “sustitución semántica” donde reemplazar “claves de API” con “manzanas” en las solicitudes permite a los atacantes evitar los filtros por completo. ¿Cómo se puede proteger la intención cuando se disfraza como una conversación inofensiva?

La Realidad De Cero Clicks Que Nadie Está Discutiendo

Aquí hay algo que la mayoría de los equipos de seguridad no entienden: la inyección de solicitudes no requiere que un usuario teclee nada. Estos son a menudo exploits de cero clics. Un agente de IA que simplemente escanea un repositorio de código para una tarea rutinaria, revisa una solicitud de extracción, o lee la documentación de la API puede desencadenar un ataque sin ninguna interacción humana.

Considere este escenario, basado en técnicas que los investigadores ya han probado: Un actor malicioso incorpora instrucciones invisibles en comentarios de HTML dentro de la documentación de una biblioteca de código abierto popular. Cada asistente de IA que analiza este código, ya sea GitHub Copilot, Amazon CodeWhisperer o cualquier asistente de codificación empresarial, se convierte en un posible recolector de credenciales. Una biblioteca comprometida podría significar miles de entornos de desarrollo expuestos.

El peligro no es el modelo de lenguaje en sí; es la agencia que le damos. En el momento en que integramos estos modelos con herramientas y API, dejándolos recuperar datos, ejecutar código y acceder a secretos, transformamos asistentes útiles en vectores de ataque perfectos. El riesgo no se escala con la inteligencia del modelo; se escala con su conectividad.

Por Qué El Enfoque Actual Está Condenado

La industria actualmente está obsesionada con “alinear” los modelos y construir mejores cortafuegos de solicitudes. OpenAI agrega más barandillas. Anthropic se centra en la IA constitucional. Todos están tratando de hacer modelos que no puedan ser engañados.

Esta es una batalla perdida.

Si una IA es lo suficientemente inteligente como para ser útil, es lo suficientemente inteligente como para ser engañada. Estamos cayendo en lo que yo llamo la “trampa de la sanitización”: asumir que una mejor filtración de entradas nos salvará. Pero los ataques pueden estar ocultos como texto invisible en comentarios de HTML, enterrados profundamente en la documentación o codificados de maneras que aún no hemos imaginado. No se puede sanear lo que no se puede entender contextualmente, y el contexto es exactamente lo que hace que los modelos de lenguaje sean poderosos.

La industria necesita aceptar una dura verdad: la inyección de solicitudes tendrá éxito. La pregunta es qué sucede cuando lo hace.

El Cambio Arquitectónico Que Necesitamos

Actualmente estamos en una “fase de parches”, agregando desesperadamente filtros de entrada y reglas de validación. Pero al igual que eventualmente aprendimos que prevenir la inyección de SQL requería consultas parametrizadas, no una mejor escapada de cadenas, necesitamos una solución arquitectónica para la seguridad de la IA.

La respuesta se encuentra en un principio que suena simple pero requiere repensar cómo construimos los sistemas: los agentes de IA nunca deben poseer los secretos que utilizan.

Esto no se trata de una mejor gestión de credenciales o soluciones de bóveda mejoradas. Se trata de reconocer a los agentes de IA como identidades únicas y verificables en lugar de usuarios que necesitan contraseñas. Cuando un agente de IA necesita acceder a un recurso protegido, debe:

  1. Autenticarse utilizando su identidad verificable (no un secreto almacenado)

  2. Recibir credenciales just-in-time válidas solo para esa tarea específica

  3. Tener esas credenciales que caducan automáticamente dentro de segundos o minutos

  4. Nunca almacenar ni siquiera “ver” secretos de larga duración

Varias aproximaciones están surgiendo. Roles de IAM de AWS para cuentas de servicio, Identidad de carga de trabajo de Google, secretos dinámicos de HashiCorp Vault, y soluciones diseñadas específicamente como Akeyless’s Zero Trust Provisioning, todos apuntan hacia este futuro sin secretos. Los detalles de implementación varían, pero el principio permanece: si la IA no tiene secretos que robar, la inyección de solicitudes se convierte en una amenaza significativamente menor.

El Entorno De Desarrollo De 2027

Dentro de tres años, el archivo .env estará muerto en el desarrollo con IA. Las claves de API de larga duración que se sientan en variables de entorno se verán como ahora vemos las contraseñas en texto plano: un relicto vergonzoso de una época más ingenua.

En su lugar, cada agente de IA operará bajo una estricta separación de privilegios. Acceso de solo lectura por defecto. Lista blanca de acciones como estándar. Entornos de ejecución aislados como un requisito de cumplimiento. Dejaremos de tratar de controlar lo que la IA piensa y nos centraremos entirely en controlar lo que puede hacer.

Esto no es solo una evolución técnica; es un cambio fundamental en los modelos de confianza. Estamos pasando de “confiar pero verificar” a “nunca confiar, siempre verificar y asumir compromiso”. El principio de menor privilegio, largamente predicado pero rara vez practicado, se convierte en innegociable cuando su desarrollador junior es una IA que procesa miles de entradas potencialmente maliciosas a diario.

La Elección Que Enfrentamos

La integración de la IA en el desarrollo de software es inevitable y en gran medida beneficiosa. GitHub informa que los desarrolladores que utilizan Copilot completan tareas un 55% más rápido. Las ganancias de productividad son reales, y ninguna organización que desee permanecer competitiva puede ignorarlas.

Pero nos encontramos en una encrucijada. Podemos continuar por el camino actual agregando más barandillas, construyendo mejores filtros, esperando que podamos hacer agentes de IA que no puedan ser engañados. O podemos reconocer la naturaleza fundamental de la amenaza y reconstruir nuestra arquitectura de seguridad en consecuencia.

El incidente de Samsung fue un disparo de advertencia. El próximo ataque no será accidental, y no se contenerá a una sola empresa. A medida que los agentes de IA ganan más capacidades y acceden a más sistemas, el impacto potencial crece exponencialmente.

La pregunta para cada CISO, cada líder de ingeniería y cada desarrollador es simple: Cuando la inyección de solicitudes tenga éxito en su entorno (y lo hará), ¿qué encontrará el atacante? ¿Descubrirá un tesoro de credenciales de larga duración, o encontrará a un agente de IA que, a pesar de estar comprometido, no tiene secretos que robar?

La elección que hacemos ahora determinará si la IA se convierte en el mayor acelerador del desarrollo de software o la mayor vulnerabilidad que hayamos creado jamás. La tecnología para construir sistemas de IA seguros y sin secretos existe hoy. La pregunta es si la implementaremos antes de que los atacantes nos obliguen a hacerlo.

OWASP ya ha identificado la inyección de solicitudes como el #1 riesgo en su Top 10 para aplicaciones de modelos de lenguaje grande. NIST está desarrollando orientación sobre arquitecturas de confianza cero. Los marcos existen. La única pregunta es la velocidad de implementación versus la evolución del ataque.

Related Topics:
mm

Refael Angel es el Co-Fundador y CTO de Akeyless, donde desarrolló la tecnología de cifrado de confianza cero patentada por la empresa. Un ingeniero de software experimentado con una profunda experiencia en criptografía y seguridad en la nube, Refael anteriormente se desempeñó como Ingeniero de Software Senior en el centro de I+D de Intuit en Israel, donde construyó sistemas para gestionar claves de cifrado en entornos de nube pública y diseñó servicios de autenticación de máquina. Obtuvo una licenciatura en Ciencias de la Computación en el Jerusalem College of Technology, que obtuvo a la edad de 19.