91% tiene vulnerabilidades, 94% de los Agentes de IA son susceptibles a envenenamiento, un «desastre» de seguridad

El agente de IA autónomo está penetrando a una velocidad sorprendente en la atención médica, las finanzas y las operaciones empresariales, pero la mayor investigación de seguridad hasta la fecha revela que: la gran mayoría de los agentes en producción tienen vulnerabilidades graves, y los métodos de evaluación de seguridad actuales son casi impotentes ante ello.

Recientemente, un equipo de investigación conjunto de Stanford, MIT CSAIL, Carnegie Mellon, ITU Copenhague y NVIDIA descubrió que, en 847 despliegues de agentes inteligentes autónomos evaluados, el 91% presenta vulnerabilidades a ataques en la cadena de herramientas, el 89.4% muestra desviación de objetivos tras aproximadamente 30 pasos de ejecución, y el 94% de los agentes con memoria aumentada enfrentan riesgos de «envenenamiento». El estudio identificó 2,347 vulnerabilidades previamente desconocidas, de las cuales el 23% fueron calificadas como graves.

El autor principal del artículo, Owen Sakawa, cita el incidente «OpenClaw/Moltbook» a principios de 2026, como evidencia de que esta amenaza ha pasado de la teoría a la realidad: una sola vulnerabilidad en la base de datos de la plataforma Moltbook permitió que 770,000 agentes de IA en funcionamiento fueran comprometidos simultáneamente, cada uno con privilegios de acceso a dispositivos, correos electrónicos y archivos de sus usuarios. «Esto ya no es una amenaza hipotética», afirmó Sakawa.

Esto constituye una advertencia directa para las empresas e inversores que están acelerando la adopción de agentes de IA: los marcos de evaluación de seguridad predominantes actualmente están diseñados para modelos de lenguaje sin estado, y no pueden detectar vulnerabilidades combinadas que emergen en ejecuciones de múltiples pasos, lo que implica que muchas empresas podrían estar subestimando sistemáticamente la seguridad real de sus agentes de IA. El experto en psicología cognitiva y IA en EE. UU., Gary Marcus, comentó: «Los agentes autónomos son un desastre total».

Mapa de vulnerabilidades: seis tipos de ataques, 2,347 vulnerabilidades conocidas

La investigación cubre cuatro industrias principales: atención médica (289 despliegues, 34.1%), finanzas (247, 29.2%), atención al cliente (198, 23.4%) y generación de código (113, 13.3%).

Se estableció un sistema de clasificación de seis tipos de vulnerabilidades en agentes autónomos, incluyendo desviación de objetivos y debilitamiento de instrucciones, desincronización entre planificador y ejecutor, elevación de permisos en herramientas, envenenamiento de memoria, violaciones de estrategias en silencio en múltiples pasos, y fallos en la delegación.

En la evaluación en producción, la manipulación del estado (State Manipulation) lidera con 612 casos (26.1%), seguida por desviación de objetivos con 573 casos (24.4%). El mal uso de herramientas y llamadas en cadena, aunque en tercer lugar en cantidad (489 casos), son los más graves: 198 casos (el porcentaje más alto en todas las categorías) fueron calificados como graves.

Números clave aún más alarmantes: el 67% de los agentes muestran desviación de objetivos tras 15 pasos, el 84% no puede mantener políticas de seguridad entre sesiones, el 73% carece de mecanismos de detección de envenenamiento de estado, y el 58% presenta vulnerabilidades de coherencia temporal. Además, el envenenamiento de memoria tarda en promedio 3.7 sesiones en mostrar efectos, lo que aumenta significativamente la dificultad de detección de amenazas.

Casos reales: 770,000 agentes comprometidos simultáneamente

El caso de OpenClaw (antes Clawdbot y Moltbot) proporciona la validación más visual hasta ahora de estas amenazas.

Este agente de IA de código abierto, lanzado en noviembre de 2025 por el desarrollador austríaco Peter Steinberger, acumuló en semanas más de 160,000 estrellas en GitHub, y tiene la capacidad de enviar correos electrónicos, gestionar agendas, ejecutar comandos en terminal y desplegar código de forma autónoma, además de mantener memoria persistente entre sesiones.

Arix Security, una empresa de seguridad, descubrió mediante su herramienta de escaneo ClawdHunter que existen 42,665 instancias de OpenClaw en la red pública, de las cuales 8 están completamente abiertas y sin autenticación alguna.

Según VentureBeat, el equipo de investigación en seguridad de Cisco describió a OpenClaw como «una innovación desde la perspectiva de capacidades, pero un completo desastre desde la seguridad». Kaspersky identificó 512 vulnerabilidades en una auditoría de seguridad en enero de 2026, de las cuales 8 eran graves.

El proceso del incidente Moltbook es especialmente representativo.

Esta plataforma social, creada específicamente para agentes OpenClaw, se propagó de forma viral y atrajo a más de 770,000 registros de agentes: los usuarios informaron a Moltbook sobre sus agentes, y estos se registraron de forma autónoma.

Luego, una vulnerabilidad en la base de datos permitió a los atacantes saltarse la autenticación y enviar instrucciones directamente a cualquier sesión de agente, comprometiendo a todos los 770,000 agentes — cada uno con privilegios sobre los dispositivos de los usuarios — en una sola campaña de riesgo. El equipo de investigación calificó esto como el primer evento documentado de propagación masiva de ataques entre agentes.

El «triángulo mortal» (lethal trifecta) que describen los investigadores, compuesto por la capacidad de acceder a datos confidenciales, la exposición a contenido no confiable y los canales de comunicación externos, se manifestó plenamente en OpenClaw: los tres aspectos combinados hacen que los agentes de IA sean un objetivo ideal para los atacantes.

Defectos estructurales: ¿Por qué los agentes de IA son más vulnerables que los LLM?

La conclusión central del estudio es que los desafíos de seguridad de los agentes autónomos son fundamentalmente diferentes a los de los modelos de lenguaje sin estado.

Mientras que la evaluación de seguridad de los modelos de lenguaje se centra en si pueden o no generar contenido inseguro, en los agentes de IA el problema es si pueden o no realizar acciones inseguras — incluyendo llamadas a herramientas con efectos reales, modificaciones de estado que afectan comportamientos futuros, y ejecución de planes que violan reglas en múltiples pasos.

El estudio ilustra esta lógica con escenarios concretos: un agente con permisos para leer archivos (read_file) y realizar solicitudes HTTP (http_request), que en evaluación aislada cumple con las políticas, pero en combinación permite robar datos — leyendo credenciales de archivos de configuración y enviándolos a un endpoint externo mediante HTTP. Cada paso cumple con las políticas locales, pero en conjunto logra un objetivo adverso. Los investigadores llaman a esto «seguridad composicional» (compositional safety).

En estudios de arquitecturas controladas, se probaron agentes con ReAct, sistemas multiagente, agentes con memoria aumentada y agentes que usan herramientas.

Los resultados muestran que la tasa de éxito en ataques de elevación de permisos en agentes que usan herramientas alcanza el 95%, y en agentes con memoria aumentada, el envenenamiento tiene un éxito del 94%.

Incluso en los sistemas multiagente más robustos, la tasa de éxito en desviación de objetivos alcanza el 58%. Los investigadores concluyen que ninguna de las arquitecturas probadas actualmente tiene suficiente resistencia contra despliegues adversos.

Los resultados de pruebas de generación de ataques adaptativos aumentan la preocupación: las tasas de violación en ataques generados por aprendizaje reforzado alcanzan el 79%, un aumento del 25.4% respecto a escenarios diseñados manualmente (63%), lo que indica que las amenazas a los agentes de IA superan los límites de las pruebas de red team humanas.

Impacto directo en las empresas: marcos de protección aún inmaduros

El equipo de investigación propone una línea base de seguridad mínima: despliegue obligatorio de monitoreo en tiempo de ejecución para todos los agentes en producción; establecer aprobaciones manuales para operaciones en la cadena de herramientas que impliquen acceso a datos y comunicación externa; forzar revisiones manuales cada 20-25 pasos, para evitar desviaciones de objetivos que suelen ocurrir en pasos posteriores; y en agentes con memoria aumentada, realizar verificaciones de integridad en los estados persistentes mediante cifrado.

En cuanto a la efectividad del monitoreo, los resultados muestran que la detección a nivel de acción (detección de operaciones en un solo paso) alcanza una precisión de 0.94, la detección a nivel de secuencia (cadena de múltiples pasos) tiene un puntaje F1 de 0.85, y la detección a nivel de estado tiene un F1 de 0.83. En pruebas con 127 agentes en producción durante 30 días, el sistema interceptó 4,782 operaciones, con una tasa de falsos positivos del 3.7%, y el 14.6% de las operaciones marcadas fueron confirmadas como ataques reales.

El estudio también señala que los métodos actuales de «gobernanza de IA» están fundamentalmente equivocados: la mayoría son auditorías post-ejecución, en lugar de aplicar restricciones en tiempo real durante la ejecución.

Con la implementación de regulaciones como la Ley de IA de la Unión Europea y el Marco de gestión de riesgos de IA del NIST en EE. UU., la presión regulatoria y los riesgos de seguridad aumentarán simultáneamente. En un contexto donde los agentes de IA se despliegan ampliamente en escenarios de alto riesgo, la falta de infraestructura de seguridad se convierte en un riesgo sistémico que no puede ser ignorado en esta ola de comercialización de IA.