Microsoft ha reconocido que sus nuevas características de IA, como lo es el Copilot Actions, inducen a nuevos riesgos de seguridad más complejos, pues son introducidos por la misma IA. Esto no debería sorprender, pues los de Redmond han estado trabajando para que la IA tenga control pleno de aplicaciones, carpetas y archivos que el usuario tenga en su ordenador. Esto puede provocar que Copilot Actions «se confunda» y termine vulnerando el sistema.
El riesgo de usar Copilot Actions: ¿De qué manera la IA induce estas nuevas brechas de seguridad?
A pesar de toda la fanfarria y porras de Microsoft con su visión «agentica», los de Redmond han tenido que reconocer que sus nuevas características de IA implican también nuevos riesgos de seguridad. Una de estas recientes funcionalidades es Copilot Actions, una nueva función que permite a la IA hacer numerosas tareas en nombre del usuario y, para ello, tiene acceso total a todos sus archivos, carpetas y aplicaciones instaladas.
Si bien Microsoft ha dicho que esta característica es, de momento, opcional y es el usuario quien le da privilegios, se puede decir que es una verdad a medias. Lo que Microsoft no ha dicho de forma transparente es que esta (y seguramente otras características de IA más que ya tiene implementadas el Windows 11) se ejecuta en segundo plano, con cuentas recurrentes y en su propio espacio llamado «Agent Workspace».
Ahí es donde empiezan los problemas, pues a diferencia del entorno proporcionado por Windows Sandbox, los espacios de trabajo de agentes de IA (Agent Workspace) se mantienen en ejecución a lo largo de toda la sesión del usuario. Si a esto le sumamos que estos agentes tienen cuentas de usuario persistentes y pueden acceder a programas y carpetas, el cóctel para que exploten nuevas vulnerabilidades está servido.
¿De qué riesgos de seguridad hablamos?
Microsoft ha reconocido que sus nuevas características de IA pueden inducir a «nuevas vulnerabilidades novedosas». Uno de los métodos de vulnerabilidad sobre el que advirtió la compañía es el de inyección de intersección cruzada (XPIA). Este método consiste básicamente en manipular a los agentes de IA mediante un contenido o archivo malicioso, y estos, al tener acceso pleno a programas y carpetas… ¡BOOM!
¿Consecuencias? Pues pueden suceder muchas cosas, dependiendo del prompt malicioso: desde filtración de datos personales (obviamente contraseñas, huellas dactilares…) hasta la instalación de malware. Recordemos también que este tipo de vulnerabilidades se encuentran también en otros sistemas de IA como Gemini.
¿Qué solución está aplicando Microsoft para mitigar estos riesgos de seguridad al usar características de IA como Copilot Actions?
Los de Redmond han dicho que, para minimizar estas nuevas vulnerabilidades, características como Copilot Actions vendrán desactivadas por defecto y el usuario será responsable de activarlas. Además, si un usuario activa alguna de estas nuevas funcionalidades, será notificado con una advertencia sobre los riesgos de seguridad que implica utilizar estos nuevos agentes de IA. Sin embargo, no advierten de que, una vez activada, estos agentes quedarán ejecutándose en segundo plano, así el usuario la desactive posteriormente.
