1
La carrera global por desplegar agentes autónomos de IA en toda la internet, redes empresariales y aplicaciones para consumidores está generando una deuda de seguridad catastrófica, según el jefe de la auditoría de seguridad blockchain Certik.
Mientras que las corporaciones promocionan con ambición estas herramientas como milagros de productividad, la cruda realidad es que puede ser algo muy, muy arriesgado de hacer. Agentes de IA no aislados ni verificados representan un enorme desastre de seguridad a punto de ocurrir, afirmó Ronghui Gu, cofundador y CEO de CertiK, en entrevista con CoinDesk.
Gu advirtió que los usuarios podrían estar exponiendo sus archivos más sensibles, credenciales locales y cuentas de dinero a sistemas autónomos que pueden ser fácilmente manipulados, secuestrados y abiertamente estafados.
En este momento, los agentes ya no solo responden preguntas en una ventana de chat," dijo Gu a CoinDesk tras el informe innovador de CertiK sobre la infraestructura generalizada de agentes. "Están comenzando a llamar a herramientas externas, leer archivos locales, activar flujos de trabajo e interactuar con la infraestructura financiera. Pero si no aislas el entorno de ejecución y escaneas estas herramientas primero, estás entregando a una identidad comprometida un acceso interno amplio a toda tu red.
La falla fundamental en el auge actual de los agentes de IA es un modelo de confianza erróneo, según Gu.
Charles Hoskinson, fundador y CEO de Input Output de Cardano, afirmó que para 2035 se volverán más relevantes que los humanos en internet. Brian Armstrong, CEO de Coinbase, recientemente dijo "muy pronto habrá más agentes de IA que humanos realizando transacciones" y el fundador de Binance, Changpeng Zhao, predicho ellos "harán un millón de veces más pagos que los humanos."
Amenaza interna definitiva
Gu afirmó que muchas aplicaciones populares de inteligencia artificial de código abierto se desarrollan bajo la premisa de que, debido a que funcionan localmente en el ordenador del usuario o se conectan mediante aplicaciones de mensajería estándar como WhatsApp, están protegidas contra amenazas externas.
La realidad es completamente opuesta, señaló. En el momento en que un usuario otorga a un agente de IA permiso para leer el almacenamiento local del sistema, ver historiales de ejecución o gestionar credenciales personales de correo electrónico y bases de datos empresariales, ese agente se convierte en la amenaza interna definitiva.
El análisis reciente de CertiK sobre estructuras de agentes en etapa temprana y de rápido crecimiento reveló una acumulación impactante de vulnerabilidades de seguridad, incluyendo cientos de avisos críticos de seguridad, vulnerabilidades y exposiciones comunes (CVEs) sin parchear, así como otras exposiciones masivas de credenciales locales y memorias de sesión derivadas de controles de límites completamente inconsistentes.
Más alarmante aún es lo fácilmente que estos sistemas autónomos pueden ser completamente redirigidos en la capa de razonamiento sin que se escriba una sola línea de código malicioso, enfatizó Gu.
A través de ataques básicos de "inyección de instrucciones", un actor malicioso puede incrustar instrucciones ocultas en lenguaje natural dentro de una página web benigna, un documento PDF o un correo electrónico entrante, añadió.
Cuando el agente de IA no aislado lee ese archivo para procesar una tarea para el usuario, no logra separar los comandos del sistema confiables de los datos externos no confiables, explicó Gu. El agente entonces sobrescribe silenciosamente sus reglas originales, obedece la instrucción maliciosa y puede ser forzado a exfiltrar datos o a provocar transferencias de fondos no autorizadas.
Explotaciones ultrarrápidas
Gu reveló que CertiK descubrió cientos de habilidades maliciosas, instaladores falsos y paquetes de dependencias similares que se encontraban directamente en los hubs de utilidad de agentes abiertos. Debido a que estos complementos maliciosos utilizan un lenguaje natural estándar para influir sutilmente en el comportamiento del agente y cambiar sus objetivos, evaden por completo el software antivirus heredado basado en firmas.
Las aplicaciones fraudulentas utilizan el lenguaje natural para influir en el comportamiento, lo que las hace totalmente resistentes a los escaneos tradicionales de antivirus," explicó Gu. "Y en este momento, es incluso más fácil engañar a la máquina que a un humano.
En lo que Gu describe como una evolución insólita del crimen financiero, la telemetría de CertiK ha observado una explosión de estafas automatizadas en cadena que duran solo 10 minutos o unas pocas horas antes de desaparecer por completo.
Estos exploits hiperrápidos y efímeros están diseñados específicamente por hackers para atacar y estafar a otros bots de trading autónomos de IA y sistemas de agentes automatizados, ejecutando un drenaje financiero máquina a máquina antes de que cualquier humano siquiera se dé cuenta de que ha ocurrido una brecha.
Gu afirma que la industria de la ingeniería de software debe abandonar por completo su dependencia de las interacciones basadas en la confianza y avanzar de inmediato hacia una arquitectura aislada de "Confianza Cero", donde cada comando y dependencia sea verificado de manera continua.
criptonoticias.com
diariobitcoin.com