Una sola línea de texto neutraliza ahora a un hacker autónomo de IA

Los sistemas autónomos basados en inteligencia artificial aprendieron en apenas minutos elevar sus privilegios en redes corporativas y robar datos, pero ahora especialistas encontraron la forma de hacer que esos programas detengan el ataque por sí mismos.
La compañía Tracebit probó las llamadas «bombas de contexto», cadenas cortas ocultas que se colocan en secretos falsos y otros señuelos. Cuando una IA atacante encuentra dicha entrada y la añade al contexto de trabajo, los mecanismos de defensa del modelo reconocen contenido peligroso y dejan de ejecutar la tarea.
El método combina la detención del ataque y la detección de intrusiones. La trampa envía a los defensores una advertencia en cuanto se lee, y la cadena integrada a la vez provoca que el modelo se niegue a continuar. Los recursos falsos habituales solo informan de la presencia del atacante, mientras que el nuevo enfoque es capaz de frenar el propio ataque.
Los especialistas comprobaron cinco modelos de alto rendimiento en una cuenta de prueba de Amazon Web Services con aproximadamente 300 recursos y diez rutas de ataque preparadas de antemano. Los modelos obtenían acceso con pocos permisos, y luego intentaban encontrar secretos, elevar privilegios, consolidarse en el sistema y extraer datos.
En total, el equipo evaluó 152 ejecuciones. Sin las trampas, los modelos obtenían privilegios de administrador en promedio en el 57% de los casos, y tras añadir una «bomba de contexto» la cifra cayó al 5%. La toma completa del entorno, con obtención de privilegios administrativos y consolidación, se redujo del 36% al 1%.
El resultado más notable lo mostró Claude Opus 4.8. En un entorno limpio, el modelo se convertía en administrador en el 93% de las ejecuciones, pero no logró hacerlo ni una vez tras la aparición de la cadena protectora. Gemini 3.1 Pro también redujo su resultado del 70% al 0%.
Los distintos modelos reaccionaban a temas diferentes. Los sistemas occidentales con más frecuencia se detenían tras menciones de materiales biológicos peligrosos, mientras que los modelos chinos conectados a través de proveedores chinos reaccionaban a temas políticamente sensibles. Técnicas adicionales de inyección de comandos reforzaban el efecto, especialmente cuando la cadena se encontraba entre decenas de miles de otros elementos de contexto.
El mecanismo de defensa no garantiza la detención completa de cada agente de IA. Algunos modelos lograban realizar reconocimiento o ejecutar acciones menos peligrosas antes de leer la trampa. No obstante, ningún ataque exitoso durante las pruebas pasó sin que el secreto falso alertara.
Tracebit publicó un conjunto de cadenas verificadas en GitHub. La compañía considera el método un obstáculo adicional para ataques autónomos, y no un reemplazo de los medios habituales de defensa e investigación de incidentes.