La versión limpia de la automatización por agente se suponía que vendría del SaaS empresarial: el CRM recibe un copiloto de IA, el IDE recibe un programador par de IA, nadie tiene que pensar demasiado qué se está modelando. La versión más caótica ya está en producción dentro de empresas tech chinas, y corre sobre GitHub. MIT Technology Review publicó esta semana un artículo sobre Colleague Skill, una herramienta de Tianwing Zhou del Shanghai AI Lab que hace exactamente lo que sugiere su nombre. Dale el nombre de un colega, raspa tus apps de chat del trabajo, y te devuelve un manual de flujo de trabajo que un agente puede reproducir.

Los mecanismos son directos. Colleague Skill extrae historiales de chat y archivos de Lark y DingTalk (los equivalentes empresariales chinos de Slack y Teams), pasa los datos por una tubería de destilación, y emite un documento describiendo deberes del puesto más las "peculiaridades únicas" a replicar. La pieza de MITTR no precisa qué modelos alimentan el paso de destilación, y Zhou no ha publicado detalles de arquitectura. Lo que está documentado es el sustrato de datos: logs de chat del trabajo, metadatos de archivos, y suficiente señal conductual para codificar personalidad. Aparte, otro ingeniero, Koki Xu, lanzó una herramienta anti-destilación el 4 de abril con modos de sabotaje ligero, medio y pesado que reescriben los documentos de flujo de trabajo de entrada en "lenguaje genérico, no accionable" antes de que sean absorbidos. El video de demo de la herramienta de sabotaje acumuló más de cinco millones de likes.

Esta es la verdadera forma del despliegue de agentes, no la versión del pitch-deck. La superficie de despliegue no es una API limpia o una feature empresarial pulida; es cualquier dato al que tu empleador pueda llegar, específicamente los historiales de chat y archivos compartidos donde la mayor parte del trabajo de conocimiento realmente ocurre. El contragolpe no es política, es ingeniería. La herramienta de Xu es esencialmente moldeado adversarial de datos, ejecutado por los trabajadores cuya producción es la señal de entrenamiento. Si construyes herramientas de agente, esta es una señal que merece atención: la gente cuyo conocimiento quieres capturar tiene cultura de envío, y ya están tratando los pipelines de destilación como entrada hostil a perturbar.

Dos cosas para rumiar. Uno, el raspado de app de chat es el sustrato de entrenamiento real — Lark, DingTalk, Slack, Teams, Notion son donde vive la señal, y las herramientas de agente que dependen de SOPs limpias escritas a mano están perdiendo la distribución de datos real. Dos, el modo sabotaje va a generalizarse. Una vez que un patrón ligero/medio/pesado para reescrituras adversariales de flujo de trabajo se establezca, lo verás desplegado contra cada herramienta "tu colega IA" cuya entrada sea contenido de trabajo del usuario. Si tu pipeline de agente trata la entrada de destilación como confiable, planifica que no lo sea.