La falla de seguridad central en los asistentes de IA puede no tener solución técnica permanente
La señal
Un paper de Cornell concluye que la técnica de manipulación de instrucciones —la que permite a un atacante incrustar órdenes en un documento o correo que el asistente luego ejecuta como si fueran legítimas— puede ser imposible de resolver de forma permanente. No es un error que se corrige con una actualización. Es una propiedad del diseño actual de estos sistemas.
El supuesto que se rompe
Los problemas de seguridad en tecnología son de ingeniería: se descubren, se estudian, se corrigen. Este supuesto aplica a casi todo el software conocido y moldea cómo las organizaciones esperan que los problemas de la IA se resuelvan. Si aplica a los asistentes de IA, la pregunta es cuándo se parchea. Si no aplica, la pregunta es qué límites debe tener el asistente desde el principio — independientemente de si llega un parche.
Qué observar
Qué sistemas internos tienen conectados los asistentes de IA que ya se usan en la organización. Qué acciones pueden ejecutar en nombre del usuario: enviar correos, crear eventos, modificar archivos, consultar bases de datos. Si un atacante lograra incrustar instrucciones maliciosas en un documento o correo, qué podría hacer exactamente con esos permisos.