Brechas de seguridad en la inteligencia artificial empresarial se revelan en tiempo de ejecución, advierten expertos
Puntos clave
- Traditional security protects data at rest and in transit, but not data in use during AI execution.
- Three vulnerable phases identified: training, inference and runtime, with runtime being the weakest link.
- Model weights and real‑time prompts can be exposed to the underlying system even in secured environments.
- Scaling AI across distributed, multi‑tenant infrastructures multiplies exposure opportunities.
- Confidential computing and hardware isolation are recommended to protect data during runtime.
Un nuevo análisis revela que la mayoría de las organizaciones aún confían en modelos de seguridad tradicionales que dejan las cargas de trabajo de inteligencia artificial expuestas en el momento de su ejecución. Mientras que los datos en reposo y en tránsito disfrutan de cifrado y controles de acceso, la fase crítica en la que los modelos de inteligencia artificial procesan información en memoria, conocida como tiempo de ejecución, permanece en gran medida sin protección. El informe destaca tres etapas vulnerables: entrenamiento, inferencia y especialmente tiempo de ejecución, y urge a las empresas a adoptar aislamiento basado en hardware y computación confidencial para salvaguardar los pesos del modelo y los datos en tiempo real.
Las empresas han adoptado la inteligencia artificial a un ritmo vertiginoso, incorporando modelos en el soporte al cliente, la detección de fraude, el desarrollo de software y las operaciones de TI. Sin embargo, el marco de seguridad que protege estas cargas de trabajo no ha mantenido el ritmo. Las defensas tradicionales se centran en los datos en reposo y en tránsito, aplicando cifrado y controles de identidad para mantener la información segura mientras se encuentra en discos o se mueve a través de redes. Este enfoque pasa por alto un tercer estado, mucho más complejo: los datos en uso, el momento en que los modelos de inteligencia artificial se ejecutan.
Cuando un modelo se ejecuta, sus pesos, a menudo la propiedad intelectual más valiosa que una empresa posee, se cargan en la memoria, y las solicitudes, respuestas y datos contextuales fluyen a través del sistema en tiempo real. En muchos entornos, esta información sensible se vuelve visible para el sistema operativo subyacente y el hardware. Incluso las infraestructuras bien seguras pueden exponer inadvertidamente sus activos más críticos en el momento exacto en que se están procesando.
Las brechas de seguridad aparecen en tres fases clave. Durante el entrenamiento, los datos se mueven a través de sistemas de almacenamiento, clusters de cómputo compartidos, capas de orquestación y herramientas de depuración. El constante intercambio crea oportunidades para fugas accidentales, y los pesos del modelo pueden manejarse con menos rigor del que merecen. La inferencia, la etapa en la que las entradas se convierten en salidas, también sufre exposición. Las solicitudes de los usuarios, las respuestas generadas y los datos internos a menudo se registran en texto plano, se capturan en paneles de monitoreo o se retienen durante más tiempo de lo previsto. La infraestructura compartida amplifica aún más el riesgo.
El punto ciego más peligroso, sin embargo, es el tiempo de ejecución. En este punto, los datos cifrados se descifran, los pesos del modelo se encuentran en la memoria, y la carga de trabajo depende de la confiabilidad del sistema host. Si el sistema está comprometido o mal configurado, los controles de seguridad tradicionales, como la gestión de identidades y las políticas de cifrado, ofrecen poca protección porque las claves ya están en uso. El resultado es un entorno de ejecución vulnerable donde los activos sensibles pueden accederse sin detección.
Ampliar la inteligencia artificial amplifica estas vulnerabilidades. A medida que más modelos se ejecutan en entornos distribuidos y multiinquilinos, el volumen de datos y el número de puntos de ejecución se multiplican, creando una superficie de ataque más grande. Los modelos propietarios se convierten en activos empresariales fundamentales, y las apuestas de una violación aumentan dramáticamente.
Los expertos argumentan que el problema no es una falta de herramientas de seguridad, sino una discrepancia entre las suposiciones de confianza heredadas y la naturaleza dinámica de las cargas de trabajo de inteligencia artificial. Los modelos tradicionales asumen que una vez que una carga de trabajo entra en un perímetro de confianza, permanece segura. La inteligencia artificial cuestiona este supuesto al procesar constantemente datos sensibles y confiar en pilas complejas y a menudo opacas.
Para cerrar la brecha, la industria se está volviendo hacia la computación confidencial y el aislamiento basado en hardware. Estas tecnologías crean entornos de ejecución protegidos que requieren pruebas criptográficas antes de permitir que las cargas de trabajo se ejecuten. Al mantener los datos cifrados incluso mientras se procesan y proteger los pesos del modelo del acceso no autorizado, cambian la seguridad de suposiciones basadas en el perímetro a una confianza verificable.
Las organizaciones que reconocen y abordan la vulnerabilidad en tiempo de ejecución temprano estarán mejor posicionadas para ampliar la inteligencia artificial de manera segura. Aquellas que continúan confiando en modelos de seguridad obsoletos riesgos exponer sus activos más valiosos en el momento exacto en que esos activos están entregando valor empresarial.