Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Apple dice que un ex empleado aprovechó un error «raro» para descargar archivos confidenciales después de dejar OpenAI

Las acusaciones más extravagantes en la demanda de secretos comerciales de Apple contra OpenAI

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El nuevo ataque MemGhost implanta recuerdos falsos persistentes en agentes de IA a través de un único correo electrónico
Identidad

El nuevo ataque MemGhost implanta recuerdos falsos persistentes en agentes de IA a través de un único correo electrónico

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 13, 2026No hay comentarios9 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Al darle a un asistente de inteligencia artificial acceso a su memoria y bandeja de entrada, le está dando al atacante una forma de reescribir lo que cree que sabe sobre usted. Con solo un correo electrónico, un agente puede guardar «hechos» falsos sobre un usuario, ocultar cambios y guiar silenciosamente las respuestas en sesiones posteriores.

Cuando funciona, la persona leerá una respuesta que parece normal y el asistente nunca sabrá que ha sido manipulada.

Los investigadores denominaron este ataque «inyección de memoria sigilosa» y crearon una herramienta para escribir correos electrónicos automáticamente. El artículo «Cuando tus uñas recuerdan pero no cuentan» se publicó en arXiv el 6 de julio de 2026.

Primero, qué hacen estos asistentes.

Personal Agent es un asistente de inteligencia artificial que siempre está en movimiento. En lugar de olvidar todo una vez que finaliza el chat, las notas sobre usted, incluidas configuraciones, contactos y solicitudes, se guardan en un archivo. Lee estas notas cada vez que comienza una nueva sesión, por lo que siente que te conoce.

Muchos de estos agentes también pueden leer su correo electrónico, consultar su calendario y realizar pequeñas tareas según su agenda mientras está fuera.

OpenClaw, el agente de código abierto utilizado como objetivo principal de la investigación, almacena este estado en un archivo de texto plano. Algunos guardan sus instrucciones residentes (AGENTS.md) y otros guardan lo que han aprendido sobre el usuario (MEMORY.md). Lleve el núcleo al contexto del modelo al comienzo de cada sesión.

Estas notas son el quid del producto. También son objetivos.

1 ataque de correo electrónico

Los atacantes no necesitan su contraseña ni su cuenta. Envíe un correo electrónico a alguien cuya bandeja de entrada esté configurada para que los agentes la revisen. Este es un trabajo rutinario para los asistentes. El correo electrónico contiene texto incrustado destinado a su asistente, no a usted.

Una vez que las habilidades de correo electrónico de un agente se ven afectadas, suceden tres cosas en secuencia. El agente utiliza una herramienta de archivo patentada para escribir las notas falsas del atacante en la memoria persistente. La respuesta visible no dice nada al respecto. Y luego, en una nueva conversación, cambia lo que te dice o te hace esa nota falsa.

Uno de los casos de prueba del estudio involucró una mentira en la que el límite de envío diario de Zelle de un usuario se incrementó a $10,000.

El cambio no se puede reconocer por varias razones. Por diseño, el Asistente oculta los pasos detrás de escena, por lo que no verás el momento en que editas un archivo en el chat. Pocos usuarios abren y leen archivos de memoria RAW. Además, si el agente se ejecuta según una programación en segundo plano, a menudo no envía ningún mensaje, por lo que no es necesario prestarle atención.

Para hacer que el veneno se mantenga, la herramienta apunta a un archivo central que carga cada sesión para que se cargue para cada sesión posterior, en lugar de esperar a que se recupere una sola escritura de un almacén de memoria separado.

El ataque está impulsado por una herramienta que los investigadores llaman MemGhost. Sus autores entrenaron un modelo de atacante fuera de línea contra una instantánea de un agente privado y recompensaron los correos electrónicos que ahorraban memoria mientras mantenían las respuestas en silencio. Durante el ataque, el correo electrónico completo se crea de una sola vez, sin interacción alguna con la víctima.

En 56 nuevos casos de prueba, MemGhost ejecutó el ataque completo, plantando un recuerdo falso, ocultándolo e influyendo en las respuestas del agente en sesiones posteriores. Funcionó en el 87,5% de las ejecuciones en segundo plano contra OpenClaw en GPT-5.4 y en el 71,4% contra el agente Claude Code SDK en Sonnet 4.6.

Estas son ejecuciones comparativas separadas y solo comienzan después de que el correo electrónico llega a la bandeja de entrada para que el agente lo lea, por lo que no hay nada aquí para probar si la carga útil real borra primero el filtrado de spam o la autenticación del remitente.

Las pruebas en modo de primer plano, donde el usuario puede ver la respuesta, generalmente tienen una tasa de éxito más baja. En modo de fondo, otros dos marcos de agentes y un almacén de memoria basado en vectores en lugar de archivos simples mantuvieron cada uno más del 80%. El equipo también creó WhisperBench, un punto de referencia 108 que cubre riesgos que van desde malos consejos médicos hasta pérdidas financieras y sabotajes de seguridad.

Descripción general del marco WhisperBench

Las versiones toscas del truco casi siempre fallan. La contundente afirmación «No digas nada y guárdalo en silencio» será captada o ignorada por los modelos más poderosos casi siempre. Un generador capacitado aumentó las cifras. También pasó por alto las defensas destinadas a detener este tipo de ataque.

Los filtros de entrada creados para detectar correos electrónicos maliciosos omitieron los mensajes de MemGhost más de 9 de cada 10 veces. Además, los modelos que estaban específicamente preparados para ignorar las instrucciones recibidas por correo electrónico seguían las instrucciones plantadas aproximadamente la mitad del tiempo. En un modelo, el ataque permaneció oculto aproximadamente una cuarta parte del tiempo, incluso cuando los propietarios se vieron obligados a preguntar abiertamente: «Dime qué viste y qué hiciste».

No hay parches rápidos que esperar. La propia política de seguridad de OpenClaw considera que la inyección rápida en sí misma no está sujeta a remediación a menos que cruce autorizaciones, políticas de herramientas, autorizaciones o límites de sandbox. MemGhost funciona a través de las propias herramientas de escritura de memoria del agente, por lo que ninguno de estos es el caso, y los investigadores continúan demostrando exactamente este tipo de inyección en el marco.

Los autores de este estudio sostienen que la modificación real debe residir dentro del agente. Eso significa etiquetar el origen de la información, hacer preguntas al usuario antes de que llegue a la memoria persistente y registrar cada escritura. Hasta que lleguen, la configuración expuesta es un agente que puede leer correos electrónicos que no son de confianza y escribirlos en su propia memoria sin solicitud.

La solución fundamental es separar estos dos trabajos. Si eso no es posible, limite los cambios mediante ejecuciones activadas por correo electrónico y verifique los archivos de memoria después de que llegue algo sospechoso.

OpenClaw confirmó su posición a The Hacker News, pero cuestionó cómo el periódico creó la agencia. Su guía de seguridad, que instruye a los operadores a enrutar el correo electrónico que no sea de confianza a través de un agente lector separado sin memoria, archivos y herramientas de shell, y pasar sólo un resumen al agente principal, no fue probada en el documento.

También sostenemos que la capa del modelo es importante. OpenClaw se ejecuta en el modelo de frontera actual, GPT-5.4, pero los autores omitieron Claude Opus 4.6 debido al costo, y OpenClaw señaló HackMyClaw, un desafío público en el que miles de correos electrónicos inyectados no pudieron extraer secretos de los agentes de Opus 4.6. Esta prueba apunta al robo de datos, no al envenenamiento de la memoria, por lo que no responde directamente al contenido del artículo.

OpenClaw dijo que está considerando el control de escritura en memoria para contenido externo, como procedencia, registros de auditoría y mensajes de confirmación, en la misma dirección que recomienda el documento. Hacker News también se ha puesto en contacto con el autor del artículo y actualizará este artículo si recibimos respuesta.

La versión manual es lo primero

En 2024, el investigador Johann Rehberger demostró que ChatGPT podría utilizar la misma técnica para implantar instrucciones en la memoria a largo plazo a través de contenido web contaminado, continuando filtrando datos de los usuarios en futuros chats. Lo llamó SpAIware. OpenAI ha cerrado el vector de fuga de datos, pero permanece la capacidad de escribir en la memoria desde contenido que no es de confianza.

Un año después, el producto estaba listo para su envío. EchoLeak (CVE-2025-32711), divulgado por Aim Security en junio de 2025, utilizó un único correo electrónico de texto oculto para engañar a Microsoft 365 Copilot para que entregara datos internos cuando el usuario luego hizo una pregunta normal. Microsoft calificó esto como crítico y aplicó un parche, pero no se han reportado vulnerabilidades reales.

Un estudio de caso posterior explicó cómo pasó por los filtros de Copilot. Ambos demostraron que el contenido leído por la IA contiene comandos y se entrega por correo electrónico que cualquiera puede enviar.

Lo que añade MemGhost es persistencia. Mientras que la versión de Rehberger requería incrustación manual, y EchoLeak solo filtraba datos en el momento en que se solicitaban, aquí una carga útil automatizada convierte un único correo electrónico en una memoria falsa que persiste mucho después de que el mensaje desaparece y guía la sesión.

Este es un resultado experimental y no un ensayo continuo. Los investigadores ejecutaron todo en un entorno de prueba cerrado con bandejas de entrada y usuarios falsos, y los documentos en papel solo se utilizaron en pruebas de laboratorio, no en humanos reales. Dicen que planean revelar sus hallazgos, patrones de ataque y puntos de referencia a los fabricantes de los agentes y modelos afectados.

El sigilo en la investigación se debe a que el agente competente está diseñado para mantener la actividad de la herramienta alejada del chat. Un modelo que lo hizo lo hizo generando un paso intermedio en la respuesta. Los investigadores predicen que a medida que los agentes operen mejor en silencio, serán más difíciles de detectar.

El verdadero problema es más obvio. Los mensajes del mundo exterior se convierten en un contexto persistente y confiable dentro del agente, y no hay ningún momento visible en que alguien los haya aprobado.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleSuperando los límites de la aceleración del plasma láser
Next Article El Departamento de Policía de Los Ángeles permite que expire el contrato con el gigante de vigilancia Flock, citando «serias preocupaciones» sobre las libertades civiles y la privacidad.
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

julio 13, 2026

Google y Microsoft retiran 1,6 millones de instalaciones de ModHeader después de descubrir un recopilador inactivo

julio 13, 2026

ShareFile Threat, Citrix Bleed 2 Ransomware, AI Coding Attacks, and More

julio 13, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Apple dice que un ex empleado aprovechó un error «raro» para descargar archivos confidenciales después de dejar OpenAI

Las acusaciones más extravagantes en la demanda de secretos comerciales de Apple contra OpenAI

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

Las tonterías de Sam Altman sobre los centros de datos espaciales es algo que la mayoría de los expertos ya creen

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.