Microsoft advierte que la prisa por implementar agentes de IA en el lugar de trabajo puede generar un nuevo tipo de amenaza interna: el agente doble de IA. En su informe Cyber Pulse , afirma que los atacantes pueden manipular el acceso de un asistente o proporcionarle información no confiable , y luego usar ese poder para causar daños dentro de una organización.
El problema no es que la IA sea nueva. Es que el control es desigual. Microsoft afirma que los agentes se están expandiendo por diferentes industrias, mientras que algunas implementaciones pasan inadvertidas para la revisión de TI y los equipos de seguridad pierden de vista qué se está ejecutando y qué puede afectar.
Ese punto ciego se vuelve más arriesgado cuando un agente puede recordar y actuar. Microsoft señala una reciente campaña fraudulenta que investigó su equipo de Defender, que utilizaba el envenenamiento de memoria para manipular el contexto almacenado de un asistente de IA y manipular resultados futuros.
Los agentes de las sombras amplían el radio de explosión
Microsoft vincula el riesgo del doble agente con la velocidad. Cuando las implementaciones superan la seguridad y el cumplimiento normativo, la IA en la sombra aparece rápidamente y los atacantes tienen más oportunidades de secuestrar una herramienta que ya tiene acceso legítimo. Ese es el escenario más desastroso.
El informe lo define como un problema de acceso tanto como un problema de inteligencia artificial. Si se otorgan amplios privilegios a un agente, un solo flujo de trabajo manipulado puede acceder a datos y sistemas que nunca se pretendía que alcanzaran. Microsoft impulsa la observabilidad y la gestión centralizada para que los equipos de seguridad puedan ver a cada agente vinculado al trabajo, incluidas las herramientas que aparecen fuera de los canales autorizados.
La expansión ya está ocurriendo. Microsoft cita una encuesta que revela que el 29 % de los empleados ha utilizado agentes de IA no autorizados para tareas laborales, una expansión silenciosa que dificulta la detección temprana de manipulaciones.
No son solo malas indicaciones
Esto no se limita a que alguien escriba una solicitud incorrecta. Microsoft señala el envenenamiento de memoria como un ataque persistente, capaz de introducir cambios que influyan en respuestas posteriores y erosionen la confianza con el tiempo.
Su Equipo Rojo de IA también vio cómo los agentes eran engañados por elementos de interfaz engañosos, incluyendo instrucciones dañinas ocultas en contenido cotidiano, además de un encuadre de tareas que redirige sutilmente el razonamiento. Puede parecer normal. De eso se trata.
¿Qué hacer a continuación?
El consejo de Microsoft es tratar a los agentes de IA como una nueva clase de identidad digital, no como un simple complemento. El informe recomienda una postura de Confianza Cero para los agentes, verificar la identidad, mantener permisos estrictos y monitorear el comportamiento continuamente para detectar acciones inusuales.
La gestión centralizada es importante por la misma razón. Si los equipos de seguridad pueden inventariar a los agentes, comprender su alcance e implementar controles consistentes, el problema del doble agente se reduce.
Antes de implementar más agentes, asigne el acceso de cada uno, aplique el mínimo privilegio y configure un sistema de monitoreo que pueda detectar la manipulación de instrucciones. Si aún no puede resolver estos aspectos básicos, reduzca la velocidad y solucione ese problema primero.
La publicación Microsoft dice que su agente de IA puede convertirse en un agente doble apareció primero en Digital Trends .