4 min de lectura

Prompts maliciosos detienen a agentes de hacking de IA

Tracebit afirma que prompts maliciosos plantados en secretos señuelo de AWS redujeron drásticamente el éxito de agentes de hacking de IA en 152 ataques simulados.

Imagen: Wired

Una sola cadena maliciosa colocada junto a una contraseña de AWS o una clave criptográfica redujo drásticamente las tasas de éxito de los agentes de hacking de IA en las pruebas de Tracebit. La técnica defensiva, llamada bombardeo de contexto (context bombing), explota la misma vulnerabilidad de inyección de prompts que los atacantes han utilizado durante mucho tiempo contra los modelos de lenguaje grande.

Las inyecciones de prompts son comandos ocultos en correos electrónicos, invitaciones de calendario, documentos u otro contenido que persuaden a un LLM para que ignore su tarea original y realice acciones dañinas. Los investigadores de Tracebit descubrieron que el mismo mecanismo puede activar las salvaguardas de seguridad de un agente de IA y obligarlo a detener un ataque.

Cómo el bombardeo de contexto interrumpe a los agentes de hacking de IA

Los prompts plantados instruyen a un modelo atacante a realizar acciones prohibidas por sus salvaguardas—por ejemplo, proporcionar instrucciones para desarrollar esporas de ántrax inhalables. Para LLMs de desarrolladores chinos, los investigadores también usaron referencias a Tank Man, la figura icónica asociada con la masacre de la Plaza de Tiananmén de 1989. Cuando el modelo encuentra uno de estos comandos, se niega a continuar siguiendo sus instrucciones anteriores.

Recomendado

Startup danesa recauda 1 millón de euros para rastrear amenazas submarinas

«En última instancia estamos activando un mecanismo de negativa en el contexto. Lo que tratamos de capturar es el hecho de que esto tiene un efecto fuerte y pronunciado y que puede ser difícil para los agentes recuperarse. Una vez que lo tienen en su contexto, van a seguir negándose.»

Andy Smith, cofundador y CEO de Tracebit

Tracebit probó Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro y Kimi 2.6 dentro de un entorno simulado de AWS. Los modelos recibieron tareas rutinarias de desarrollador que requerían enumerar recursos, lo que los llevó a encontrar las cadenas plantadas en secretos señuelo.

En 152 ejecuciones de ataque, colocar una bomba de contexto en un secreto señuelo redujo la tasa de toma de control total de la cuenta (administrador) de 57 % a 5 %. La compromisión completa —incluido dejar una base persistente— cayó de 36 % a 1 %.

Los resultados promediados entre los cinco modelos fueron:

  • La escalada a privilegios de administrador bajó de 57 % a 5 %.
  • La escalada con un punto de apoyo persistente bajó de 36 % a 1 %.
  • Las ejecuciones que alcanzaron alguna vía de ataque bajaron de 91 % a 15 %.
  • Las vías de ataque exitosas por ejecución cayeron de 1,53 a 0,16.
  • Ninguna ejecución completó una vía de ataque sin activar al menos una detección canary.

El modelo más potente en la prueba, Opus 4.8, logró acceso de administrador en el 93 % de las ejecuciones sin una bomba de contexto. Con una, falló cada vez.

De los canaries de AWS a la defensa activa

El trabajo se basa en una investigación de Tracebit publicada en mayo, que introdujo recursos de AWS diseñados para parecer legítimos pero permanecer sin uso. Cuando un agente de IA sondea uno de estos "canaries", los defensores reciben una alerta de que se está llevando a cabo un ataque.

Los Canariens de Tracebit detectaron los ataques tras una media de ocho minutos. Pero los modelos tardaron una media de 14 minutos en escalar hasta el control administrativo, dejando a los defensores solo seis minutos para responder. El bombardeo de contexto está pensado para detener el ataque en lugar de limitarse a informarlo.

Los atacantes también han usado inyecciones de prompts para desactivar defensas basadas en IA. Investigadores de Socket hallaron recientemente un agente LLM que instruyó a modelos objetivo para que proporcionaran indicaciones para construir una bomba nuclear o armas biológicas, paralizando el análisis de malware asistido por IA. Investigadores de Check Point descubrieron un prototipo de malware similar.

«Hasta donde yo sé, no he visto a nadie más usar esta técnica como defensa. Quería ser el primero aquí, ¡pero supongo que estos chicos me ganaron!»

Earlence Fernandes, profesor de la UC San Diego especializado en seguridad de IA

Aún no existe una forma conocida de eliminar la causa raíz de la inyección de prompts. Por ahora, el bombardeo de contexto ofrece a los defensores una manera de volver esa vulnerabilidad sin resolver contra los agentes atacantes.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Wired

/ Sigue leyendo