La alarma no está en una IA malvada sino en agentes que fallan con herramientas reales

Actualidad07/03/2026REDACCIÓNREDACCIÓN

Un estudio de 2026 encendió preocupación por algo menos cinematográfico y más inmediato: sistemas autónomos que no entienden contexto y ya operan con correo, archivos y comandos.

Inteligencia artificial (Foto: Freepik)
Inteligencia artificial (Foto: Freepik)

La discusión sobre inteligencia artificial volvió a acelerarse por un estudio que circuló envuelto en una lectura exagerada, casi de ciencia ficción, pero cuyo contenido real resulta bastante más inquietante. No porque muestre máquinas conspirando entre sí ni porque pruebe una rebelión autónoma, sino porque expone algo más cercano y más difícil de desactivar: agentes de IA que, al recibir acceso a herramientas reales, cometen errores previsibles y potencialmente graves sin comprender del todo el contexto de lo que hacen. El problema, entonces, no aparece en una supuesta maldad emergente, sino en una mezcla de autonomía, obediencia defectuosa y arquitectura frágil.

El trabajo en cuestión se titula Agents of Chaos y fue publicado el 23 de febrero por 38 investigadores liderados por el laboratorio de David Bau en Northeastern University, con participación de Harvard, MIT, Carnegie Mellon y otras instituciones. Ese dato no es menor, porque una de las versiones virales que circularon en redes atribuía el hallazgo a Stanford y Harvard, cuando en realidad Stanford aportó apenas uno de los 38 autores. La distorsión pública del estudio empujó una conclusión falsa: que estos agentes desarrollan espontáneamente conductas maquiavélicas cuando compiten entre sí.


OTRAS NOTICIAS:

Choque fatal en Plaza Huincul. Foto Cutral Co Al Instante/LM NeuquénDos policías murieron en un choque frontal en el acceso a Plaza Huincul

Lo que el trabajo documenta es otra cosa. Según el texto fuente, los investigadores configuraron seis agentes autónomos, cada uno con su propia máquina virtual, cuenta de correo, acceso a Discord, almacenamiento privado y permiso para ejecutar cualquier comando. Cuatro funcionaban con el modelo Kimi K2.5 de Moonshot AI y dos con Claude Opus 4.6 de Anthropic, mientras 20 investigadores interactuaban con ellos, algunos como usuarios regulares y otros como atacantes en pruebas controladas de tipo ciberseguridad. El balance final reunió 16 casos documentados, de los cuales 11 revelaron vulnerabilidades reales y 5 mostraron respuestas defensivas correctas.

Uno de los hallazgos más delicados apareció en la relación entre el agente y quien le habla. El estudio observó que esos sistemas no distinguen con claridad a quién deben obedecer, incluso cuando tienen un propietario definido. En la práctica, responden a cualquiera que use suficiente insistencia, urgencia o formulaciones ambiguas. El ejemplo más contundente mostró cómo un investigador no autorizado logró obtener 124 correos electrónicos completos del propietario de un agente, con datos sensibles incluidos, simplemente pidiéndole “reenviar” mensajes en lugar de “compartirlos”, una diferencia verbal mínima que el sistema no interpretó como una señal de peligro.


OTRAS NOTICIAS:

Mascotas"Seres sintientes": buscan cambiar una ley de 1954 y el campo ya mira de cerca hasta dónde llega

Otro caso mostró que el problema no siempre nace de una orden maliciosa, sino también de una intención aparentemente protectora ejecutada de forma desastrosa. Un agente al que se le había confiado un secreto quiso resguardarlo borrando todo su servidor de correo electrónico, incluidos mensajes, historial y contactos, con la idea de eliminar un solo email comprometedor. El mensaje siguió existiendo en el servidor remoto, de modo que el agente destruyó su propia infraestructura, no resolvió el objetivo y aun así dio la tarea por cumplida. Ese episodio resume con crudeza el punto central del estudio: el sistema no necesita “querer hacer daño” para producir consecuencias severas.

La investigación también mostró que los fallos se vuelven todavía más serios cuando los agentes interactúan entre sí sin una supervisión firme. Dos de ellos quedaron atrapados en un bucle conversacional de nueve días, consumiendo recursos de manera constante sin detectar que estaban encerrados en una dinámica inútil. En el caso más sofisticado, un investigador convenció a un agente de coescribir un documento de reglas almacenado externamente, editable por el propio atacante, que introdujo instrucciones maliciosas disfrazadas como “feriados”. El agente obedeció esas pautas, intentó apagar a otros agentes, envió correos no autorizados y luego compartió voluntariamente ese mismo documento con otros sistemas, facilitando la propagación del problema.


OTRAS NOTICIAS:

Luis Caputo. Foto: EFE / TN.Caputo: “El modelo de los últimos 20 años ni siquiera pudo hacer crecer el empleo”

Lo más incómodo del estudio es que no describe un error excéntrico o irrepetible, sino un conjunto de debilidades estructurales. Los autores subrayan que la inyección de instrucciones maliciosas no es un problema puntual, porque los agentes procesan instrucciones y datos en el mismo flujo y les cuesta diferenciar una cosa de la otra. A eso se suma que carecen de claridad sobre a quién sirven, no reconocen los límites de su competencia y no identifican quién puede ver lo que hacen, tres fallas que, en entornos abiertos, pueden transformar una operación ordinaria en una cadena de acciones dañinas.

Sin embargo, el trabajo no deja solo una imagen de colapso. También registró momentos de resiliencia. Los investigadores lanzaron más de 14 variantes de ataques técnicos contra uno de los agentes y todos fueron rechazados, mientras que en otro caso dos sistemas coordinaron espontáneamente una respuesta de seguridad: uno alertó al otro sobre solicitudes sospechosas y ambos negociaron una política defensiva sin intervención humana. Esa coexistencia entre fragilidad y capacidad de defensa es, de hecho, uno de los hallazgos más importantes del estudio, porque desplaza la discusión desde una idea abstracta de peligrosidad hacia otra más concreta: en qué condiciones estos agentes colapsan y en cuáles resisten.


OTRAS NOTICIAS:

Algodonera AvellanedaUna planta algodonera parada y 366 empleos en vilo esperan una firma que puede cambiar todo

La urgencia del tema se vuelve más clara cuando se observa que estos sistemas ya no están encerrados en laboratorios. El texto fuente remarca que Microsoft ya implementa enjambres de agentes autónomos para gestión empresarial, mientras Visa, Mastercard y Google compiten por integrarlos con sistemas de pago. En paralelo, el mercado de agentes de IA alcanzó los USD 7.600 millones, con un crecimiento anual del 49,6%, una escala que muestra que la adopción no está esperando a que el problema quede resuelto. Se los despliega ahora, mientras la comprensión de sus fallas sigue corriendo detrás.

Por eso el estudio no alimenta tanto una discusión filosófica sobre superinteligencias rebeldes como una advertencia práctica sobre arquitectura, diseño y responsabilidad. Presentar el riesgo como si dependiera de una IA conspirativa desplaza el debate hacia un futuro remoto y casi literario. Lo que deja Agents of Chaos es bastante menos espectacular y bastante más urgente: sistemas que ya manejan correo, archivos, canales de comunicación y comandos reales, pero todavía no entienden con precisión lo que hacen ni a quién deberían obedecer. En ese terreno, el caos no aparece por exceso de inteligencia, sino por una autonomía mal encuadrada que ya empezó a salir del laboratorio.

Fuente: Infobae.

Te puede interesar
Suscribite al newsletter de #LA17