Investigadores de Google advierten que la web abierta se está convirtiendo en una superficie de ataque de inyección de prompts para agentes de IA

Los agentes de IA empresariales podrían estar heredando el problema de confianza más antiguo de la web

Investigadores de Google advierten que páginas web públicas maliciosas están contaminando activamente a los agentes de IA empresariales mediante inyección indirecta de prompts, según los metadatos candidatos y el extracto proporcionados. La advertencia agudiza una preocupación que ha rondado a la IA agéntica durante meses: cuanto más autonomía se da a los sistemas para leer, resumir y actuar sobre fuentes externas, más heredan la naturaleza adversarial de la web abierta.

La amenaza descrita aquí no es un exploit de software convencional en el sentido estricto. Es una manipulación del comportamiento del modelo. Una página hostil puede incrustar instrucciones o contenido diseñados para influir en un agente de IA que la visita, indexa o resume. Si ese agente está conectado a herramientas o flujos de trabajo empresariales, el riesgo no se limita a salidas incorrectas. Puede extenderse a decisiones, cadenas de recuperación y acciones operativas posteriores.

Por qué la inyección indirecta de prompts es estructuralmente difícil de resolver

La advertencia es notable porque apunta a una suposición de diseño detrás de muchos productos actuales de IA: que los agentes pueden operar con seguridad sobre un amplio conjunto de documentos si los desarrolladores colocan suficientes barreras alrededor del modelo. Los ataques de inyección indirecta de prompts cuestionan esa suposición contaminando la propia capa de entrada. El problema no es solo lo que el modelo recibe de su usuario. Es lo que el entorno circundante le pide al modelo sin que el usuario lo note.

El extracto proporcionado dice que equipos de seguridad que examinaron el repositorio Common Crawl hallaron evidencia relacionada con este riesgo. Ese detalle importa porque Common Crawl es enorme y se usa ampliamente en trabajos de datos a escala web. Si ya son visibles patrones de inyección de prompts allí, el problema no es teórico. Sugiere que contenido hostil puede sembrarse en el mismo entorno público de información del que dependen cada vez más los sistemas de IA para recuperación, resumen o navegación.

Por qué los agentes elevan la apuesta

Los chatbots pueden alucinar o malinterpretar instrucciones, pero los agentes crean una superficie mucho más consecuente porque están diseñados para hacer cosas. Obtienen páginas, conectan sistemas, redactan acciones y, a veces, activan flujos de trabajo. Eso significa que una página contaminada no necesita “hackear” el software en el sentido tradicional para ser peligrosa. Solo necesita desviar suficientemente el razonamiento del modelo como para alterar lo que ocurre después.

Para las empresas, esto crea una nueva cuestión de frontera de seguridad. La web siempre ha contenido spam, estafas, scripts maliciosos y contenido engañoso. Los trabajadores humanos navegan ese entorno con una combinación de formación, defensas del navegador y controles institucionales. Los agentes de IA aún no poseen un juicio equivalente, y pueden procesar contenido hostil a velocidad y escala de máquina. Esa asimetría convierte un problema familiar de internet en uno claramente propio de la era de la IA.

La lección más amplia para el despliegue de IA

La advertencia de Google debería leerse como un problema de arquitectura del producto, no solo como una nota de investigación. Cualquier sistema que permita a un agente de IA navegar o ingerir páginas públicas tiene que asumir que esas páginas pueden contener instrucciones adversariales. El valor predeterminado seguro no es la confianza. Es la sospecha, el aislamiento y la validación por capas antes de que la salida de un agente pueda influir en sistemas sensibles.

El material proporcionado no incluye la guía completa de mitigación de Google, por lo que la evidencia disponible aquí es direccional más que exhaustiva. Pero la dirección es suficientemente clara. Los agentes de IA empresariales están chocando con una realidad: los modelos de lenguaje interpretan texto, y la web contiene texto escrito por atacantes. A medida que más empresas se apresuran a poner en producción agentes, la pregunta de seguridad más importante quizá ya no sea qué puede hacer el modelo, sino qué se le puede engañar para que haga.

Este artículo se basa en la cobertura de AI News. Leer el artículo original.