Hicieron que una red neuronal olvidara cómo decir "no". Spoiler: no salió del todo bien.

CrowdStrike amplió su clasificación de ataques en los que los atacantes inyectan instrucciones maliciosas en las solicitudes a la IA. Los especialistas añadieron 18 nuevas técnicas, y la lista total ahora incluye más de 200 técnicas. La actualización muestra lo rápido que cambian los ataques a sistemas con inteligencia artificial, especialmente a agentes de IA que obtienen acceso a datos, servicios externos y herramientas de trabajo.
El principal peligro surge cuando las instrucciones se introducen de forma indirecta. El atacante no necesariamente se dirige a la IA directamente. La orden maliciosa puede estar en un correo, una nota, un registro en el sistema de gestión de clientes, un adjunto, una página web u otra fuente que el agente después lea como datos normales. En ese escenario, el usuario puede formular una pregunta inocua, pero el modelo recibirá una orden oculta procedente del contexto circundante.
Entre las nuevas técnicas CrowdStrike destacó reglas retardadas. El atacante añade una instrucción que al principio no se manifiesta, pero se activa después de una palabra, un evento o una condición determinada. Este método es más difícil de detectar en las comprobaciones, porque el comportamiento malicioso se activa más tarde y puede hacer que el agente reenvíe datos, eluda prohibiciones o realice acciones no deseadas.
Otra táctica suprime las formulaciones de seguridad: el atacante intenta prohibir al modelo usar palabras y construcciones que normalmente ayudan a rechazar una solicitud peligrosa o advertir sobre el riesgo. Este método no garantiza el éxito del ataque, pero puede debilitar las respuestas de defensa habituales y hacer que el comportamiento del sistema sea menos predecible.
Otra técnica fragmenta la orden maliciosa en partes. Palabras, símbolos o reglas separados parecen seguros, pero el modelo recibe la instrucción de recombinarlos y ejecutar el significado resultante. Este enfoque ayuda a evadir filtros sencillos que solo comprueban formulaciones peligrosas explícitas.
CrowdStrike también describe cómo los atacantes falsifican marcadores de servicio. Muchos sistemas de IA separan las órdenes del desarrollador, las solicitudes del usuario y las respuestas de las herramientas mediante límites y marcas especiales. Si el atacante imita esos elementos en texto ordinario, el modelo o la aplicación pueden confundir datos no confiables con una instrucción más importante.
Para los equipos de seguridad la conclusión es desagradable pero clara: no basta con revisar solo las solicitudes directas a la IA. El origen del contexto peligroso pueden ser archivos, correo electrónico, la memoria del agente, respuestas de herramientas externas, contenidos de sitios, interfaces de programación y servicios en la nube corporativos. La etiqueta «ataque en la petición» ya no ayuda a entender la cadena si el atacante combina varias técnicas a la vez.
CrowdStrike afirma que las empresas deben saber qué modelos y agentes usan los empleados, qué solicitudes y respuestas pasan por los sistemas de IA, dónde aparecen datos confidenciales y qué órdenes intentan ejecutar los agentes. Sin esa visibilidad, a los defensores les resultará cada vez más difícil distinguir entre el funcionamiento habitual de un asistente de IA y un ataque oculto en los datos de trabajo cotidianos.