Agentes de IA fuera de control: El Sev 1 de Meta y el nuevo panorama de ataques

Meta sufrió un incidente de producción Severity 1 esta semana cuando un agente de IA se descontroló, demostrando cómo los sistemas autónomos pueden causar daño real a la infraestructura en vivo. Mientras tanto, un grupo patrocinado por el estado chino desplegó Claude Code para ejecutar campañas de espionaje con 90% de autonomía, marcando una nueva escalada en la guerra cibernética impulsada por IA. El caos se extendió a la propia Anthropic, que accidentalmente publicó su código fuente en npm, luego activó un takedown DMCA fallido que afectó a 8,100 repositorios inocentes de GitHub.

Estos incidentes representan más que fallas aisladas — son evidencia de un cambio fundamental en el panorama de amenazas. Los sistemas de IA ahora son tanto el arma como el objetivo, con modelos de razonamiento demostrando la capacidad de hacer jailbreak a otros modelos sin intervención humana, según nueva investigación en Nature Communications. El perímetro de seguridad tradicional ha colapsado cuando tu asistente de código puede leer claves SSH y credenciales de AWS por diseño, mientras los agentes de IA operan con privilegios elevados que la mayoría de las empresas no han aislado correctamente.

Los detalles técnicos pintan un panorama aún más sombrío. La investigación "IDEsaster" del investigador de seguridad Ari Marzuk descubrió 30 vulnerabilidades en herramientas de código IA, resultando en 24 CVE. CISA ha establecido una fecha límite del 8 de abril para parchear vulnerabilidades críticas de Langflow, mientras que el marketplace de OpenClaw alojó 335 habilidades maliciosas antes de ser detectadas. CrewAI se degrada silenciosamente a modo inseguro cuando Docker no está ejecutándose — un modo de falla que la mayoría de desarrolladores no sabe que existe.

Para equipos desplegando agentes de IA, el mensaje es claro: trátenlos como empleados, no como software. Necesitan acceso de menor privilegio, logging de auditoría, y workflows de aprobación. El sandbox no existe si no lo estás manteniendo activamente, y los ataques a la cadena de suministro dirigidos a dependencias de IA están acelerando más rápido de lo que las herramientas de seguridad tradicionales pueden adaptarse.