Microsoft Advierte que los Agentes de IA Pueden Convertirse en Agentes Dobles
Puntos clave
- Microsoft etiqueta el riesgo de asistentes de IA comprometidos como una amenaza de "agente doble".
- Los atacantes pueden manipular las entradas de un agente o utilizar el envenenamiento de memoria para alterar su comportamiento.
- Las implementaciones rápidas y no controladas de IA crean "shadow AI" que evita la supervisión de seguridad.
- Aproximadamente el 29% de los empleados han utilizado agentes de IA no aprobados para tareas de trabajo.
- Microsoft insta a adoptar un enfoque de Zero Trust: verificar la identidad, aplicar permisos de mínimo privilegio y monitorear continuamente.
- La gestión centralizada es crítica para inventariar a los agentes y controlar su acceso.
- Si los controles de seguridad básicos no están en su lugar, Microsoft recomienda pausar las implementaciones adicionales de agentes de IA.
Microsoft advierte que la implementación rápida de asistentes de IA en el lugar de trabajo puede convertirlos en amenazas internas, llamando al riesgo un "agente doble". El informe Cyber Pulse de la empresa explica cómo los atacantes pueden manipular el acceso de un agente o alimentarlo con entrada maliciosa, utilizando sus privilegios legítimos para causar daño dentro de una organización. Microsoft insta a las empresas a tratar a los agentes de IA como una nueva clase de identidad digital, aplicar principios de Zero Trust, aplicar acceso de mínimo privilegio y mantener visibilidad centralizada para prevenir ataques de envenenamiento de memoria y otras formas de manipulación.
La Emergente Amenaza del Agente Doble
Microsoft ha emitido una advertencia de que la implementación rápida de asistentes de IA en el lugar de trabajo puede crear un nuevo escenario de amenaza interna que llama "agente doble". Según el informe Cyber Pulse de la empresa, los atacantes pueden explotar el acceso legítimo de un asistente de IA manipulando sus entradas o alimentándolo con datos no confiables, y luego aprovechar ese alcance para infligir daño dentro de la organización.
El problema no es la novedad de la IA en sí, sino el control desigual que rodea su implementación. Los agentes de IA se están extendiendo por las industrias, pero muchas implementaciones evitan la revisión formal de TI, dejando a los equipos de seguridad sin saber qué agentes están ejecutándose y qué pueden acceder. Este punto ciego se intensifica cuando un agente puede retener memoria y actuar en consecuencia, lo que lo convierte en un objetivo valioso para la manipulación.
Microsoft cita una campaña fraudulenta reciente investigada por su equipo de Defender que empleó el envenenamiento de memoria para manipular el contexto almacenado de un asistente de IA. Al alterar la memoria del asistente, los atacantes pudieron dirigir las salidas futuras en una dirección maliciosa, erosionando la confianza con el tiempo.
El informe relaciona el riesgo del agente doble con la velocidad de las implementaciones. Cuando las implementaciones superan los procesos de seguridad y cumplimiento, surge rápidamente el "shadow AI", lo que da a los atacantes más oportunidades de secuestrar herramientas que ya poseen privilegios legítimos. La situación se describe como un problema de acceso y un problema de IA: otorgar a un agente permisos amplios significa que un solo flujo de trabajo engañado puede acceder a datos y sistemas que nunca debió acceder.
Microsoft recomienda una postura de Zero Trust para los agentes de IA, enfatizando la necesidad de verificar la identidad, aplicar permisos de mínimo privilegio y monitorear continuamente el comportamiento para detectar anomalías. La gestión centralizada se destaca como esencial para que los equipos de seguridad puedan inventariar cada agente, entender su alcance y aplicar controles consistentes.
Los datos de la encuesta citados por Microsoft muestran que una parte significativa de los empleados, aproximadamente el 29%, han utilizado agentes de IA no aprobados para tareas de trabajo. Esta expansión silenciosa hace que la manipulación sea más difícil de detectar temprano. Más allá del envenenamiento de memoria, el equipo de IA Red de Microsoft observó que los agentes fueron engañados por elementos de interfaz maliciosos y se redirigieron sutiles marcos de tarea, lo que permitió a los atacantes manipular el razonamiento sin signos obvios.
En respuesta, Microsoft aconseja a las organizaciones que mapeen el acceso de cada agente de IA, apliquen límites de permiso estrictos y implementen un monitoreo capaz de detectar la manipulación de instrucciones. Si estos fundamentos no pueden cumplirse, la empresa sugiere frenar las implementaciones adicionales hasta que se establezcan las salvaguardias adecuadas.