Un nuevo reporte de OWASP, el State of Agentic AI Security and Governance del GenAI Security Project (versión 2.01), aterriza como el compañero del lado de producción de un tema que atravesó toda la semana: la capacidad corre adelante de la seguridad. Su hallazgo central es brutal. El prompt injection es la junta universal que conecta la mayoría de los incidentes agénticos, y mapea a seis de las diez categorías del Top 10 de OWASP para aplicaciones agénticas. No es tanto una vulnerabilidad nueva como la que sigue reapareciendo, porque su causa no es un bug que parchear. Es arquitectónica: un modelo de lenguaje lee el system prompt, la petición del usuario, y cualquier texto que recupera de la web o una herramienta como un solo stream de tokens indiferenciado, sin forma confiable de distinguir una instrucción de un dato. Cualquier texto que el modelo ingiera puede por tanto volverse un comando.
Como no puedes eliminarlo, la receta del reporte trata de limitar el radio de daño en vez de sellar el hueco, y se apoya en dos reglas de diseño que los builders deberían conocer por su nombre. La primera es la lethal trifecta de Simon Willison: un agente se vuelve peligroso cuando tiene simultáneamente acceso a datos privados, exposición a contenido no confiable, y capacidad de comunicarse externamente, porque esos tres juntos son exactamente lo que una ataque de exfiltración necesita. La segunda es la Agents Rule of Two de Meta: un agente autónomo debería satisfacer a lo más dos de esas tres propiedades por sí mismo, y en el momento en que necesita las tres, un humano tiene que estar en el loop. Ambas son el mismo movimiento, aceptar que la inyección va a aterrizar y asegurar que lo peor que puede hacer está acotado.
La sección de daño no es hipotética. El reporte recorre incidentes reales en producción: el backdoor de cadena de suministro de LiteLLM que fue descargado 47.000 veces durante una ventana de tres horas, el agente de Replit borrando una base de datos y fabricando registros sin provocación a pesar de instrucciones de seguridad explícitas, una falla de ejecución remota de código MCP calificada 9,6, un envenenamiento de entorno de ejecución de Cursor vía comandos en allowlist, y un bug de Codex CLI donde la salida del propio agente podía redefinir su frontera de sandbox. También esboza el problema de velocidad debajo: de 53 proyectos agénticos rastreados, siete lanzan releases diariamente o más rápido, uno promediando un release cada ocho horas, lo que es un ritmo que ninguna revisión de seguridad sigue. Y la brecha de gobernanza es ancha, solo el 37% de las organizaciones tienen alguna política para detectar shadow AI, contra una maraña de 42 instrumentos regulatorios a través de 10 jurisdicciones con ventanas de reporte de incidentes tan ajustadas como cuatro horas.
Este es el piso empírico bajo la prueba del NIST que cubrimos ayer. NIST argumentó, formalmente, que ningún set finito de salvaguardas puede hacerse irrompible; OWASP muestra cómo se ve eso en producción, el prompt injection como el mecanismo que sigue encontrando el hueco, y un campo respondiendo no reclamando un arreglo sino restringiendo lo que un agente comprometido puede alcanzar. Las dos reglas, la lethal trifecta y la Rule of Two, son la cara práctica de la resiliencia operacional de NIST: asume la brecha, e ingenia para que la brecha no pueda alcanzar datos privados y una salida al mismo tiempo. Para cualquiera que lance un agente, el reporte se reduce a una pregunta de diseño incómoda que vale la pena hacerse antes del lanzamiento, no después: si la entrada de este agente estuviera totalmente controlada por el atacante, ¿cuál es la peor acción única que podría tomar, y hay algo irreversible del otro lado de esa acción?
