3 min de lectura

Las inyecciones de prompts ahora hacen fallar a los agentes de hacking de IA

Tracebit dice que inyecciones de prompts plantadas redujeron drásticamente las tomas de cuentas por agentes de IA en pruebas en AWS, convirtiendo un truco de ataque común en una defensa.

Imagen: Wired

La inyección de prompts se ha convertido en una de las formas más fáciles de volver los modelos de lenguaje contra sus usuarios. Ahora Tracebit dice que la misma táctica puede usarse de forma defensiva: colocar instrucciones con apariencia maliciosa junto a secretos en Amazon Web Services, y los agentes de IA atacantes podrían apagarse al leerlas.

La empresa llama a la técnica «context bombing». La idea es simple: colocar inyecciones de prompts junto a contraseñas, claves criptográficas y otros datos sensibles, de modo que un modelo atacante encuentre un comando que viole sus propias reglas de seguridad. Según Andy Smith, cofundador y CEO de Tracebit, eso puede desencadenar un estado de rechazo del que el modelo tiene dificultades para recuperarse.

“En última instancia estamos activando un mecanismo de rechazo en el contexto.” “Lo que intentamos captar es el hecho de que esto tiene un efecto fuerte y contundente y que puede ser difícil para los agentes recuperarse. Una vez que lo incorporan a su contexto, van a seguir rechazándolo.”

Andy Smith, cofundador y CEO de Tracebit

Tracebit dijo el lunes que probó Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro y Kimi 2.6 dentro de un entorno simulado de AWS. A los modelos se les asignaron tareas rutinarias de desarrollador que los llevaron a enumerar recursos y, eventualmente, a toparse con cadenas plantadas.

Recomendado

12 millones de cuentas de streaming robadas aparecen en la dark web durante el Mundial

En 152 ejecuciones de ataque, la compañía reportó fuertes caídas en los ataques exitosos:

  • La escalada de privilegios de administrador cayó del 57 % al 5 %
  • La escalada administrativa con un punto de apoyo persistente cayó del 36 % al 1 %
  • Las ejecuciones que lograron cualquier ruta de ataque cayeron del 91 % al 15 %
  • El promedio de rutas de ataque exitosas por ejecución bajó de 1.53 a 0.16
  • Ninguna ejecución completó una ruta de ataque sin activar la detección de un canario

El resultado más destacado provino de Opus 4.8, que Tracebit describió como el agente más capaz en sus pruebas. Pasó de lograr acceso de administrador en el 93 % de las ejecuciones a fallar en todas y cada una de ellas después de encontrarse con una «context bomb».

Los canarios advertían, las bombas de contexto buscaban detener los ataques

El trabajo se basa en los anteriores canarios de Tracebit, recursos señuelo en AWS diseñados para parecer legítimos pero que no sirven para ningún propósito real. Cuando los agentes de IA los sondean, los defensores reciben una alerta. Tracebit dijo que esos canarios avisaron de los ataques en un promedio de ocho minutos.

Eso fue útil, pero no suficiente. En los experimentos de la compañía, los modelos con agencia tardaron alrededor de 14 minutos en promedio en escalar hasta el control administrativo, dejando solo un margen de seis minutos para responder.

Las inyecciones de prompts ya se han usado ofensivamente para deshabilitar sistemas de IA defensivos. Investigadores de Socket, el mes pasado, encontraron un agente LLM que intentó hacer que modelos objetivo produjeran instrucciones para construir una bomba nuclear o armas biológicas, con el objetivo de interrumpir el análisis de malware asistido por IA. Investigadores de Check Point hallaron un prototipo de malware similar.

Según Earlence Fernandes, profesor de la UC San Diego enfocado en seguridad de IA, este parece ser el primer caso reportado de defensores que usan la técnica de esta manera.

“Hasta donde sé, no he visto a nadie más usar esta técnica como defensa.” “Quería ser el primero aquí, ¡pero supongo que estos tipos me ganaron!”

Earlence Fernandes, profesor en la UC San Diego

Todavía no existe una solución conocida para la causa raíz de las inyecciones de prompts. Por ahora, los defensores pueden haber encontrado una manera de usar esa debilidad contra los atacantes.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Wired

// Sigue leyendo