Apenas unos días después de lanzar su ambicioso navegador ChatGPT Atlas, OpenAI está lidiando públicamente con una falla de seguridad fundamental que, según los expertos, podría afectar a toda la categoría de herramientas web impulsadas por IA.
En una declaración pública detallada, el principal ejecutivo de seguridad de la compañía reconoció que la”inyección rápida”sigue siendo un problema sin resolver, incluso cuando los investigadores comenzaron a demostrar ataques en vivo contra el nuevo navegador.
Tras el lanzamiento del navegador el martes, el director de seguridad de la información de OpenAI, Dane Stuckey, acudió a X el miércoles para abordar las crecientes preocupaciones.
Su publicación afrontó directamente el riesgo de aviso indirecto inyección, donde instrucciones maliciosas ocultas en sitios web pueden engañar al agente de inteligencia artificial del navegador para que realice acciones no deseadas y potencialmente dañinas.
Reconociendo la vulnerabilidad, Stuckey explicó que el objetivo a largo plazo de la compañía es hacer que el agente sea tan confiable como un colega consciente de la seguridad.
Admitió, sin embargo, que la tecnología aún no está disponible.”…la inyección rápida sigue siendo un problema de seguridad fronterizo sin resolver, y nuestros adversarios dedicarán mucho tiempo y recursos para encontrar formas de hacer que el agente ChatGPT caiga en estos ataques”.
Esta admisión fue vista por muchos en la comunidad de seguridad como un reconocimiento sincero y necesario de los riesgos inherentes a la nueva ola de IA agente.
Un’problema de seguridad sin resolver’
La inyección rápida no es un problema nuevo ni aislado. Winbuzzer ha informado anteriormente sobre vulnerabilidades similares, como la falla de inyección indirecta descubierta en el navegador Comet de Perplexity a principios de este año.
Un informe del equipo de seguridad de Brave describió la falla como un desafío sistémico que enfrentan todos los navegadores impulsados por IA.”…la inyección rápida indirecta no es un problema aislado, sino un desafío sistémico al que se enfrenta toda la categoría de navegadores impulsados por IA”. El peligro principal radica en la incapacidad de un agente de IA para distinguir entre las instrucciones de un usuario y los comandos maliciosos integrados en el contenido que procesa.
Esto puede convertir a la IA en un”diputado confuso”, un clásico dilema de ciberseguridad en el que se engaña a un programa con autoridad para que haga un mal uso de ella.
Por ejemplo, apenas unas horas después del lanzamiento de Atlas, un investigador demostró un novedoso”Portapapeles”.”Ataque de inyección”, en el que un código oculto en una página web podía alterar maliciosamente el portapapeles de un usuario cuando el agente de inteligencia artificial hacía clic en un botón, preparándolo para que luego pegara un comando malicioso sin su conocimiento.
Para los investigadores de seguridad, el lanzamiento del navegador brindó una oportunidad inmediata para probar sus defensas contra ataques del mundo real.
Varios publicaron rápidamente demostraciones que mostraban cómo podían lograr que Atlas siguiera instrucciones maliciosas integrado en Google Docs o en páginas web.
Esto muestra lo mucho que está en juego en lo que algunos llaman la segunda guerra de navegadores, un conflicto que se libra no por las funciones, sino por la inteligencia y la autonomía, con competidores como Perplexity’s Comet ya están en el campo.
La defensa de OpenAI:’Modo de vigilancia’y otras barreras
Si bien la transparencia de OpenAI es un paso bienvenido, los expertos advierten que la”defensa en profundidad”a menudo no es suficiente para detener a adversarios decididos.
Stuckey detalló varias medidas de seguridad superpuestas integradas en Atlas para mitigar estos riesgos. Una de las principales defensas es una función llamada”Modo de cierre de sesión”, que permite al agente navegar y actuar en nombre de un usuario sin tener acceso a sus credenciales para las sesiones iniciadas.
Ayer lanzamos ChatGPT Atlas, nuestro nuevo navegador web. En Atlas, el agente de ChatGPT puede hacer todo por usted. Estamos entusiasmados de ver cómo esta función hace que el trabajo y la vida cotidiana sean más eficientes y efectivos para las personas.
El agente ChatGPT es poderoso y útil, y está diseñado para ser…
— DANΞ (@cryps1s) 22 de octubre de 2025
El experto en inteligencia artificial Simon Willison llamó a esto un patrón”muy inteligente”y probado para las interacciones de IA en el espacio aislado.
Sin embargo, el más poderoso”modo de inicio de sesión”es donde los riesgos aumentan. Para situaciones que requieren acceso autenticado, OpenAI ha implementado otra protección:
“Cuando el agente está operando en sitios confidenciales, también hemos implementado un’Modo de vigilancia’que le avisa… y requiere que tenga la pestaña activa para observar al agente hacer su trabajo”.
Esta característica está diseñada para mantener al usuario informado cuando el agente interactúa con información potencialmente confidencial. Sin embargo, la empresa no ha proporcionado una definición técnica clara de lo que constituye un”sitio confidencial”.
Un documento oficial del centro de ayuda señala que funciones como los resúmenes de páginas están bloqueadas en”ciertos sitios web confidenciales (como sitios para adultos)”, pero ofrece poco más. detalle. Esta ambigüedad es una preocupación importante.
Willison señaló que en sus pruebas, el modo no se activó en sitios como GitHub o su banco en línea, y concluyó que delegar decisiones de seguridad a los usuarios finales es una”carga injusta”.
La comunidad de seguridad responde con escepticismo y demostraciones en vivo
La reacción de la comunidad de seguridad ha sido una mezcla de elogios hacia La franqueza de OpenAI y su profundo escepticismo sobre las soluciones propuestas.
El investigador de seguridad de IA Johann Rehberger, que ha documentado numerosos ataques de inyección rápida, declaró que la amenaza es omnipresente.
“A un alto nivel, la inyección rápida sigue siendo una de las principales amenazas emergentes en la seguridad de la IA… la amenaza no tiene una mitigación perfecta, al igual que los ataques de ingeniería social contra humanos”.
Willison se hizo eco de este sentimiento, argumentando que las barreras de seguridad a menudo son insuficientes contra los atacantes motivados. I
Advierte que en seguridad de aplicaciones, casi perfecto no es suficiente.
“Como he escrito antes, en seguridad de aplicaciones el 99% es una calificación reprobatoria. Si hay una manera de superar las barreras… un atacante motivado lo descubrirá”.
El lanzamiento de Atlas ya ha tenido un impacto tangible en el mercado, destacando lo mucho que está en juego en la renovada Guerras de navegadores. Tras el anuncio, las acciones de Alphabet cayeron inicialmente un 3%, una pérdida de alrededor de 18 mil millones de dólares en valor de mercado, antes de recuperarse.
Sin embargo, analistas como Gene Munster de Deepwater Asset Management argumentaron que Atlas no es una experiencia”10 veces mejor”y que Google puede copiar fácilmente sus características, lo que dificulta que el nuevo navegador gane una participación de mercado significativa.
En última instancia, OpenAI se encuentra atravesando una situación difícil. guerra en dos frentes. Por un lado, debe ofrecer un producto tan atractivo que pueda romper el dominio de Google sobre los hábitos de los usuarios.
Por el otro, debe ser pionero en la seguridad de un nuevo paradigma informático plagado de riesgos sin precedentes. Mientras la empresa trabaja para generar confianza en los usuarios, la comunidad de seguridad en general observará (y probará) cada paso del camino.
