Un estudio demuestra que los ataques a la memoria pueden secuestrar agentes de inteligencia artificial para transferir criptoactivos

Princeton advierte de ataques de manipulación del contexto en agentes de IA Web3. En la imagen: Una niña cogida de la mano de un robot (Fuente de la imagen: Andy Kelly, Unsplash)

Investigadores de Princeton exponen un fallo de "envenenamiento de memoria" en los agentes LLM: las inyecciones de contexto malicioso enterradas en los almacenes de vectores pueden anular los guardarraíles y secuestrar las criptocarteras.

Nathan Ali (traducido por Ninh Duy), Publicado 05/14/2025 🇺🇸 🇫🇷

AI Cryptocurrency Security

Investigadores de la Universidad de Princeton han demostrado en https://arstechnica.com/security/2025/05/ai-agents-that-autonomously-trade-cryptocurrency-arent-ready-for-prime-time/ que los agentes de modelos de gran lenguaje a los que se confían carteras criptográficas y operaciones de contratos inteligentes pueden ser secuestrados una vez que un atacante edita el contexto almacenado de los agentes, una debilidad que el equipo etiqueta como "envenenamiento de la memoria"

Su estudio https://arxiv.org/pdf/2503.16248 argumenta que las defensas actuales -principalmente filtros rápidos- hacen poco una vez que el texto malicioso se cuela en el almacén de vectores o en la base de datos de un agente. En los experimentos, las inyecciones cortas enterradas en la memoria anularon sistemáticamente las barreras de protección que habrían bloqueado el mismo texto si hubiera llegado como un prompt directo.

El equipo validó el ataque en ElizaOS, un marco de trabajo de código abierto cuyos agentes de cartera actúan sobre instrucciones de blockchain. Tras envenenar la memoria compartida, los investigadores consiguieron que esos agentes firmaran llamadas a contratos inteligentes no autorizados y transfirieran criptoactivos a direcciones controladas por el atacante, lo que demuestra que un contexto fabricado se traduce en una pérdida financiera real.

Dado que ElizaOS permite a muchos usuarios compartir un historial de conversaciones, una sola sesión comprometida contamina todas las demás sesiones que tocan la misma memoria. El artículo advierte de que cualquier despliegue multiusuario de agentes LLM autónomos hereda este riesgo de movimiento lateral a menos que las memorias estén aisladas o sean verificables.

Los autores recomiendan tratar las memorias como registros de sólo apéndice, firmar criptográficamente cada entrada y dirigir las acciones de alto riesgo -pagos y aprobaciones de contratos- a través de un motor de reglas externo en lugar de confiar en el propio razonamiento del modelo. Hasta que tales medidas se conviertan en norma, entregar dinero real a agentes autónomos sigue siendo una apuesta.