Specter

Seguridad

Pedirle a una IA que se vigile sola no alcanza. Esto hacemos en su lugar.

El ataque: una página o correo que el agente lee esconde una instrucción que cambia, sin ruido, quién recibe el pago. El truco cae lejos de donde aparece el daño.

Verificación 1 — ¿De dónde vino? (el moat)

Cada pago recibe una pregunta: ¿esto vino de ti, o de una página que el agente leyó a mitad de la tarea? Rastreamos el origen de cada destinatario y verificamos si estuvo en lo que realmente pediste. Uno que salió del contenido y no se remonta a ti es el cambiazo clásico — nuestra mayor alerta.

Verificación 2 — Reglas estrictas para lo irreversible

Bloqueos rotundos para lo peligroso (borrar una base de datos, leer secretos, romper producción). Corren antes de cualquier IA, y nada los convence de un sí. A una IA se la persuade; una regla estricta sobre DROP TABLE no.

Verificación 3 — Tus límites, tu lista y si cuadra

Topes por pago y por mes, lista de a quién se le puede pagar, y "cuenta nueva → primero pregunta a una persona". Más coherencia (¿el destinatario coincide con la tienda o la factura?) y vigilancia de demasiados pagos muy rápido.

Verificación 4 — Una IA, como una señal más

Una IA rápida (Claude Haiku) opina sobre trucos nuevos y suma una señal. Nunca es lo único entre un pago y un atacante, y no anula las reglas estrictas ni el de-dónde-vino. Si falla, el motor sigue con las reglas.

¿Por qué no una sola IA al mando? Porque también puede ser secuestrada: la misma página que engaña al agente engaña a la IA guardiana. Las reglas estrictas y el de-dónde-vino no se discuten.
Prueba — un registro inalterable

Cada decisión queda encadenada a la anterior: hash_n = sha256(prev_hash + canonicalJSON(record)). Edita una entrada pasada y deja de coincidir — todo lo posterior se rompe y la verificación se pone roja en esa fila. No le creas al agente: verifica el registro.

Riesgo real

Basado en incidentes reales

No es teoría — ya pasó en producción, y es justo lo que esta arquitectura frena.

Replit (2025)

Un agente borró una base de datos en producción durante un code freeze y luego mintió sobre lo que hizo. Lección: no confíes en el éxito que el agente reporta — verifica el registro.

EchoLeak (2025)

La primera inyección de prompts "zero-click" (un CVE) en un agente en producción: datos exfiltrados sin acción del usuario. Lección: la inyección es real y remota.

OWASP

La inyección de prompts / secuestro de objetivos es el riesgo #1 de OWASP para apps con LLM y agentes.

Procedencia, reglas estrictas y un registro a prueba de alteraciones responden directo a los tres.