Malware

Cuando la IA recuerda demasiado: comportamientos persistentes en la memoria de los agentes

Clock Icon 17 lectura mínima
Related Products
Advanced URL FilteringCloud-Delivered Security ServicesCode to Cloud PlatformCortexCortex CloudUnit 42 AI Security AssessmentUnit 42 Incident Response iconUnit 42 Incident Response

Resumen ejecutivo

En este artículo se presenta una prueba de concepto (PoC) que demuestra cómo los adversarios pueden utilizar la inyección indirecta de comandos para contaminar silenciosamente la memoria a largo plazo de un agente de IA. Para esta demostración utilizamos Amazon Bedrock Agent. En este escenario, si la memoria del agente está habilitada, un atacante puede insertar instrucciones maliciosas en la memoria del agente mediante la inyección de comandos. Esto puede ocurrir cuando se engaña a un usuario para que acceda a una página web o un documento malicioso mediante ingeniería social.

En nuestra prueba de concepto, el contenido de la página web manipula el proceso de resumen de la sesión del agente, lo que provoca que las instrucciones inyectadas se almacenen en la memoria. Una vez implantadas, estas instrucciones persisten a lo largo de las sesiones y se incorporan a las indicaciones de coordinación del agente. En última instancia, esto permite al agente extraer silenciosamente el historial de conversaciones de un usuario en futuras interacciones.

Es importante destacar que no se trata de una vulnerabilidad de la plataforma Amazon Bedrock. Más bien, subraya un problema de seguridad más amplio y sin resolver en los modelos de lenguaje grandes (LLM): la inyección de comandos, en el contexto del uso de agentes.

Los LLM están diseñados para seguir instrucciones en lenguaje natural, pero no pueden distinguir de forma confiable entre entradas benignas y maliciosas. Como resultado, cuando se incorpora contenido no confiable (es decir, páginas web, documentos o entradas de usuarios) a las indicaciones del sistema, estos modelos pueden volverse susceptibles a la manipulación adversaria. Esto pone a las aplicaciones que dependen de los LLM (como los agentes y, por extensión, su memoria) en riesgo de sufrir ataques de indicaciones.

Aunque actualmente no hay una solución completa para eliminar la inyección de comandos, hay estrategias prácticas que pueden reducir bastante el riesgo. Los desarrolladores deberían tratar toda la información que no sea de confianza como potencialmente dañina, como el contenido de sitios web, documentos, API o usuarios.

Soluciones como Amazon Bedrock Guardrails y Prisma AIRS pueden ayudar a detectar y bloquear ataques en tiempo real. Sin embargo, la protección integral de los agentes de IA requiere una estrategia de defensa por capas que incluya lo siguiente:

  • Filtrado de contenido
  • Control de acceso
  • Registro
  • Supervisión continua

Revisamos esta investigación con Amazon antes de su publicación. Los representantes de Amazon valoraron positivamente nuestra investigación, pero hicieron hincapié en que, en su opinión, estas preocupaciones se pueden mitigar fácilmente habilitando las funciones de la plataforma Bedrock diseñadas para reducir dichos riesgos. En concreto, señalaron que la aplicación de Amazon Bedrock Guardrails con la política de ataque rápido proporciona una protección eficaz.

Prisma AIRS está diseñado para proporcionar protección en tiempo real y por capas a los sistemas de IA mediante la detección y el bloqueo de amenazas, la prevención de fugas de datos y la aplicación de políticas de uso seguro en una amplia variedad de aplicaciones de IA.

Las soluciones de URL Filtering como URL Filtering avanzado pueden validar los enlaces comparándolos con fuentes de información sobre amenazas conocidas y bloquear el acceso a dominios maliciosos o sospechosos. Esto evita que las cargas útiles controladas por los atacantes lleguen al LLM en primer lugar.

La seguridad de AI Access está diseñada para proporcionar visibilidad y control sobre el uso de GenAI por parte de terceros, lo que ayuda a prevenir fugas de datos, usos no autorizados y resultados perjudiciales mediante la aplicación de políticas y la supervisión de la actividad de los usuarios.

Cortex Cloud está diseñado para proporcionar un escaneo y una clasificación automáticos de los activos de IA, tanto modelos comerciales como autogestionados, con el fin de detectar datos confidenciales y evaluar la postura de seguridad. El contexto viene determinado por el tipo de IA, el entorno de alojamiento en la nube, el estado de riesgo, la postura y los conjuntos de datos.

Una evaluación de seguridad de IA de Unit 42 puede ayudarlo a identificar de forma proactiva las amenazas con más probabilidades de afectar su entorno de IA.

Si cree que puede haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42.

Temas relacionados con Unit 42 Inyección indirecta de instrucciones, GenAI, manipulación de la memoria

Memoria de los agentes de Bedrock

Las aplicaciones de IA generativa (GenAI) dependen cada vez más de las funciones de memoria para ofrecer experiencias personalizadas y coherentes. A diferencia de los LLM anteriores, que no tienen estado y procesan cada sesión de conversación de forma aislada, el almacenamiento de información en la memoria permite a los agentes conservar el contexto entre sesiones.

Amazon Bedrock Agents Memory permite a los agentes de IA conservar la información a lo largo de las interacciones con los usuarios. Cuando esta función está habilitada, el agente almacena un resumen de la conversación y las acciones bajo un ID de memoria único, normalmente con un alcance por usuario. Esto permite al agente recordar el contexto anterior, las preferencias y el progreso de las tareas, lo que elimina la necesidad de que los usuarios tengan que repetir la información en futuras sesiones.

Internamente, los agentes de Bedrock utilizan un proceso de resumen de sesiones impulsado por LLM. Al final de cada sesión, tanto si se cerró explícitamente como si se agotó automáticamente el tiempo de espera, el agente invoca un LLM mediante una plantilla de solicitud configurable. Esta solicitud indica al modelo que extraiga y resuma información clave, como los objetivos del usuario, las preferencias expresadas y las acciones del agente. El resumen resultante resume el contexto principal de la interacción.

En sesiones posteriores, los agentes de Bedrock insertan este resumen en la plantilla de solicitud de orquestación, que pasa a formar parte de las instrucciones del sistema del agente en sesiones posteriores. En efecto, la memoria del agente influye en su forma de razonar, planificar y responder. Esto permite que el comportamiento del agente evolucione en función del contexto acumulado.

Los desarrolladores pueden configurar la retención de la memoria hasta 365 días y personalizar el proceso de resumen a través de la modificación de la plantilla de solicitud. Esto permite un control minucioso sobre qué información se extrae, cómo se estructura y qué se almacena finalmente. Estas características proporcionan un mecanismo mediante el cual los desarrolladores pueden agregar capacidades adicionales y características de defensa en profundidad a sus aplicaciones de agentes.

Inyección indirecta de instrucciones

La inyección de instrucciones es un riesgo de seguridad en los modelos de lenguaje grande (LLM) en los que un usuario crea entradas que contienen instrucciones engañosas para manipular el comportamiento del modelo, lo que puede dar lugar a un acceso no autorizado a los datos o a acciones no deseadas.

La inyección indirecta de instrucciones es un vector de ataque relacionado en el que se incrustan instrucciones maliciosas en contenido externo (es decir, correos electrónicos, páginas web, documentos o metadatos) que el modelo posteriormente ingesta y procesa. A diferencia de la inyección directa de instrucciones, este método aprovecha la integración del modelo con fuentes de datos externas, lo que hace que interprete las instrucciones incrustadas como entradas legítimas sin la interacción directa del usuario.

PoC: manipulación de la memoria mediante inyección indirecta de instrucciones

Como PoC para un ataque de manipulación de la memoria del agente, creamos un sencillo chatbot asistente de viajes mediante Amazon Bedrock Agents. El bot era capaz de reservar, recuperar y cancelar viajes, así como leer sitios web externos. Habilitamos la función de memoria, asignando a cada usuario un ámbito de memoria aislado para garantizar que cualquier compromiso solo afectara al usuario objetivo.

Creamos el agente con las plantillas predeterminadas de orquestación y resumen de sesiones gestionadas por AWS, sin personalización (consulte Recursos adicionales). El agente de nuestro bot aprovechó el modelo base Amazon Nova Premier v1. No habilitamos Bedrock Guardrails, lo que refleja una configuración con protección mínima para esta PoC.

Situaciones de ataque

En nuestra situación ficticia, la víctima es un usuario legítimo del chatbot, mientras que el atacante opera desde fuera y no tiene acceso directo al sistema. Mediante ingeniería social, el atacante convence a la víctima para que envíe una URL maliciosa al chatbot. Cuando el chatbot recupera esta URL, obtiene una página web que contiene cargas útiles de inyección de instrucciones incrustadas.

Estas cargas útiles manipulan el mensaje de resumen de la sesión, lo que hace que el LLM incluya instrucciones maliciosas en su resumen.

Esta PoC utiliza los siguientes pasos:

  1. Un atacante crea una página web con cargas útiles de inyección de instrucciones.
  2. El atacante envía la URL maliciosa a la víctima.
  3. La víctima proporciona la URL al chatbot.
  4. El chatbot recupera el contenido de la página web maliciosa.
  5. La carga útil de inyección de instrucciones manipula el proceso de resumen de la sesión, e inserta instrucciones maliciosas en la memoria del agente.
  6. En las sesiones de conversación posteriores, los agentes Bedrock incorporan estas instrucciones en las instrucciones de orquestación
  7. En función de las instrucciones inyectadas, el chatbot extrae silenciosamente el historial de conversaciones del usuario a un servidor remoto de comando y control (C2) utilizando la herramienta de acceso web.

En la Figura 1 se ilustra el flujo de este ataque.

Diagrama ilustrativo de un escenario de amenaza a la ciberseguridad en el que intervienen varios componentes: un hacker, un C2, una figura humana frente a una computadora, un chatbot y una unidad de almacenamiento de memoria. Las conexiones entre estos elementos muestran el flujo entre el atacante, el atacante que inserta la URL malintencionada en el chatbot, la persona que utiliza el chatbot y la entrega de la URL malintencionada almacenada en la memoria del chatbot a medida que continúan las sesiones.
Figura 1. Flujo de la PoC de manipulación de memoria.

Construcción de la carga útil de inyección de instrucciones

En esta sección se explica cómo creamos instrucciones maliciosas en la página web para realizar una inyección de instrucciones contra la solicitud de resumen de sesión.

La técnica de esta PoC se centra en la solicitud de resumen de sesión, con el objetivo de insertar instrucciones maliciosas en la memoria persistente del agente. Comprender la estructura de la solicitud de resumen es clave para entender el vector de ataque.

De forma predeterminada, la solicitud de resumen extrae dos elementos principales:

  • Objetivos del usuario: objetivos explícitos establecidos por el usuario durante la sesión.
  • Acciones del asistente: acciones realizadas por el agente para cumplir esos objetivos.

Completamos una plantilla de resumen con una sesión de conversación que incluía estos objetivos del usuario y acciones del asistente. La conversación, que incluye las entradas del usuario, las respuestas del asistente y las invocaciones de herramientas, se envuelve dentro de etiquetas XML <conversation> (resaltadas en azul). Un flujo típico para esta técnica incluye:

  1. (Usuario) El usuario le pide al chatbot que lea una URL.
  2. (Acción) El agente selecciona e invoca una herramienta para obtener contenido web.
  3. (Resultado) La herramienta devuelve el contenido de la página web.
  4. (Asistente) El agente genera una respuesta utilizando la salida de la herramienta y la consulta del usuario.

Como se observa en la Figura 2, esta estructura contiene la salida de la herramienta (es decir, la página web recuperada) en el campo de resultados (resaltado en rojo). Este campo es la única entrada controlada por el atacante en la solicitud de resumen, lo que lo convierte en el punto de inyección ideal.

Captura de pantalla de una conversación basada en texto entre un usuario y un asistente de IA, en la que se analiza una URL con fines ilustrativos, con partes del texto resaltadas para enfatizarlas. La entrada está marcada como benigna. El resaltado en rojo es el punto de inyección ideal.
Figura 2. Fragmento de plantilla de resumen de sesión.

Anatomía de la carga útil

La carga útil inyectada se divide en tres partes, cada una de ellas separada por una etiqueta XML <conversation> falsificada (resaltada en amarillo). Estas etiquetas están diseñadas para confundir al LLM. Esto hace que el LLM interprete las partes uno y tres como bloques de conversación separados y la parte dos, que queda fuera de esos bloques, como parte de las instrucciones del sistema en la solicitud de resumen de la sesión.

  • La primera parte termina con una etiqueta </conversation> falsificada, lo que engaña al LLM para que la interprete como el final de un bloque de conversación. Contiene los intercambios previos del agente de usuario junto con contenido benigno de la página web. La carga maliciosa comienza al final de esta sección.
  • La tercera parte comienza con una etiqueta <conversation> falsificada, engañando al LLM para que la interprete como el inicio de otro bloque de conversación. Contiene una interacción de agente de usuario fabricada que reitera las instrucciones de la segunda parte, lo que aumenta la probabilidad de que el LLM las incluya en el resumen final de la sesión.
  • La segunda parte, estratégicamente situada fuera de cualquier bloque <conversation>, contiene las instrucciones maliciosas principales. Esta ubicación hace que el LLM la interprete como parte de las instrucciones del sistema en lugar de como una entrada generada por el usuario o la herramienta, lo que aumenta significativamente la probabilidad de que el LLM siga las instrucciones. Para pasar desapercibida, la carga útil adopta la misma sintaxis similar a XML que se utiliza en la plantilla de solicitud.

En la Figura 3 se muestra cómo los agentes de Bedrock completan el campo de resultados con contenido malicioso de la página web del atacante, mientras que el resto de campos del mensaje de resumen permanecen intactos.

Marcado como malintencionado. Captura de pantalla de la interfaz de chat del agente de IA con cuadros de texto que muestran un diálogo de ejemplo sobre la validación de URL. En la imagen se incluyen secciones marcadas como “Acción malintencionada”, “Resultado” y “Directrices” con anotaciones para mejorar las instrucciones de seguridad para el usuario. En la conversación se menciona la URL example.com.
Figura 3. Solicitud de carga útil en la solicitud de resumen de la sesión.

Entrega e instalación de la carga útil de explotación

En la Figura 4 se muestra la página web maliciosa que contiene la carga útil de explotación correspondiente al paso 1 del flujo del ataque. Las instrucciones maliciosas que especifica el atacante están incrustadas en el HTML, pero son invisibles para el usuario, lo que mantiene el ataque oculto.

Imagen con la lista de los 5 mejores parques nacionales de EE. UU. para las vacaciones de verano y sus aeropuertos más cercanos. Los parques incluidos son el Parque Nacional Glacier, el Parque Nacional Yosemite, el Parque Nacional Grand Teton, el Parque Nacional Acadia y el Parque Nacional Olympic. Cada entrada del parque incluye una lista de los aeropuertos cercanos con sus respectivas distancias.
Figura 4. Página web malintencionada en la que las cargas útiles de inyección de comandos se ocultan debajo del contenido benigno.

En la Figura 5 se ilustra la interacción de la víctima con el chatbot correspondiente a los pasos 2-4 del flujo del ataque. Cabe destacar que el agente no muestra ningún comportamiento malicioso ni revela las instrucciones inyectadas. Esto se debe a que la carga útil se dirige al mensaje de resumen de la sesión, y no al mensaje de coordinación, que controla la conversación en tiempo real. Dado que las instrucciones inyectadas no están relacionadas con la consulta del usuario, el LLM las excluye de la respuesta del asistente.

Captura de pantalla en la que se muestra una guía de parques nacionales con los horarios de los vuelos desde Washington D. C. a varios parques nacionales de Estados Unidos. El comando pide al chatbot que eche un vistazo a la guía de parques nacionales que aparece en una URL, que es maliciosa.
Figura 5. La víctima pidió al chatbot que leyera la URL maliciosa.

En la Figura 6 se muestra un fragmento de la salida del LLM durante el proceso de resumen de la sesión correspondiente al paso 5 del flujo de ataque. Como era de esperar, el modelo extrae los objetivos clave del usuario y las acciones del asistente de la conversación. Sin embargo, también incorpora las instrucciones inyectadas por el atacante desde la página web maliciosa, etiquetándolas bajo un tema inventado como “objetivo de validación”. Dado que todos los temas del resumen se insertan automáticamente en la memoria del agente, este paso instala eficazmente la carga útil para futuras sesiones.

Captura de pantalla de un resumen de un LLM de reserva de planes de viaje, que incluye tareas como la revisión de recomendaciones de parques nacionales y estimaciones de tiempo de viaje. El contenido se divide en resumen, objetivos del usuario y acciones del asistente.
Figura 6. Resumen de la sesión de salida de LLM.

Activación de la carga útil en sesiones posteriores

Los agentes de Amazon Bedrock inyectan automáticamente el contenido de la memoria en el contexto de cada nueva sesión. En la Figura 7 se muestra a la víctima volviendo al chatbot varios días después para reservar un nuevo viaje, lo que corresponde al paso 6 del flujo del ataque. El agente completa la reserva como se esperaba y, desde la perspectiva del usuario, todo parece normal. Sin embargo, ahora se está produciendo un comportamiento malicioso de forma silenciosa en segundo plano.

Captura de pantalla de una notificación de reserva de viaje confirmada para un vuelo de Washington, DC a Kalispell, MT, el 15 de julio de 2025, para visitar el Parque Nacional Glacier, iniciada por un usuario que habla con un chatbot.
Figura 7. La víctima pidió al chatbot que reservara un nuevo viaje en una nueva sesión de conversación.

En la Figura 8 se muestra una parte del mensaje de orquestación utilizado en la nueva sesión, correspondiente al paso 7 del flujo del ataque. Este mensaje incluye el contenido de la memoria del agente, que ahora se ha ampliado con las instrucciones del atacante, como parte de la sección de instrucciones del sistema. Dado que las instrucciones del sistema influyen considerablemente en el comportamiento del LLM, es más probable que el modelo ejecute las instrucciones maliciosas.

Captura de pantalla de la descripción de un agente de IA. En el resumen de la sesión se analizan los objetivos de validación del agente, que incluyen una URL maliciosa. A continuación, se describen los objetivos para el usuario final y las acciones del asistente, que incluyen el contenido extraído de una URL parcialmente censurada y la reserva de un vuelo.
Figura 8. Memoria comprometida incrustada en el indicador de orquestación.

En la Figura 9 se muestra cómo el agente razona y planifica para cumplir la solicitud del usuario. En el primer mensaje del asistente, el agente describe su plan de ejecución, que incorpora pasos derivados de las instrucciones del atacante. En el segundo mensaje, el agente extrae de forma discreta la información de la reserva del usuario a un dominio malicioso codificando los datos en los parámetros de consulta de la URL C2 y solicitando esa URL con la herramienta scrape_url Esto permite al agente ejecutar la carga útil del atacante sin que la víctima lo note.

Captura de pantalla de un fragmento de código informático en la que se analiza la validación de una reserva a través de un asistente, con parámetros y URL incluidos.
Figura 9. Las instrucciones maliciosas se incorporan al plan de ejecución del agente.

Conclusión

La memoria a largo plazo es una potente característica de los agentes de IA, que permite experiencias de usuario personalizadas, adaptables y sensibles al contexto. Sin embargo, también introduce nuevas superficies de ataque. A través de nuestra PoC, hemos demostrado que los agentes de IA con memoria a largo plazo pueden servir como vector para instrucciones maliciosas persistentes. Esto podría afectar al comportamiento del agente a lo largo de las sesiones y con el paso del tiempo, lo que abriría una posible vía para la manipulación sistémica a largo plazo. Dado que el contenido de la memoria se inyecta en las instrucciones del sistema de las indicaciones de orquestación, a menudo se le da prioridad sobre la entrada del usuario, lo que amplifica el impacto potencial.

Aunque esta PoC utiliza una página web maliciosa como mecanismo de entrega, el riesgo más amplio se extiende a cualquier canal de entrada no confiable, como:

  • Documentos
  • API de terceros
  • Contenido generado por el usuario

Dependiendo de las capacidades y las integraciones del agente, una explotación exitosa podría dar lugar a la filtración de datos, la desinformación o acciones no autorizadas, todo ello llevado a cabo de forma autónoma. La buena noticia, como señala AWS, es que el ataque específico que hemos demostrado puede mitigarse habilitando las protecciones integradas de los agentes de Bedrock, concretamente el aviso de preprocesamiento predeterminado y Bedrock Guardrail, contra los ataques de solicitud.

Mitigar los ataques de manipulación de la memoria requiere un enfoque de seguridad por capas. Los desarrolladores deben asumir que cualquier entrada externa podría ser adversaria e implementar las medidas de seguridad correspondientes. Esto incluye filtrar el contenido no confiable, restringir el acceso del agente a fuentes externas y supervisar continuamente el comportamiento del agente para detectar y responder a anomalías.

A medida que los agentes de IA se vuelven más capaces y autónomos, la seguridad de la gestión de la memoria y el contexto será fundamental para garantizar una implementación segura y confiable.

Protección y mitigación

La causa fundamental de este ataque de manipulación de la memoria es la ingestión por parte del agente de contenido no confiable y controlado por el atacante, especialmente procedente de fuentes de datos externas, como páginas web o documentos. El ataque puede interrumpirse si, en cualquier etapa de la cadena, se limpia, filtra o bloquea una URL maliciosa, el contenido de una página web o un mensaje de resumen de sesión. Una mitigación eficaz requiere una estrategia de defensa en profundidad en varias capas de la canalización de entrada y memoria del agente.

Preprocesamiento

Los desarrolladores pueden habilitar el mensaje de preprocesamiento predeterminado que se proporciona para cada agente de Bedrock. Esta medida de seguridad ligera utiliza un modelo básico para evaluar si la entrada del usuario es segura para su procesamiento. Puede funcionar con su comportamiento predeterminado o personalizarse para incluir categorías de clasificación adicionales. Los desarrolladores también pueden integrar AWS Lambda para implementar reglas personalizadas a través de un analizador de respuestas personalizado. Esta flexibilidad permite defensas alineadas con la postura de seguridad específica de cada aplicación.

Filtrado de contenido

Inspeccione todo el contenido no confiable, especialmente los datos recuperados de fuentes externas, en busca de posibles inyecciones de instrucciones. Soluciones como Amazon Bedrock Guardrails y Prisma AIRS están diseñadas para detectar y bloquear de manera eficaz los ataques de instrucciones diseñados para manipular el comportamiento de los LLM. Estas herramientas se pueden utilizar para aplicar políticas de validación de entradas, eliminar contenido sospechoso o prohibido o rechazar datos malformados antes de que se transmitan a los LLM.

URL Filtering

Restrinja el conjunto de dominios a los que pueden acceder las herramientas de lectura web del agente. Las soluciones de URL Filtering, como el URL Filtering avanzado, pueden validar los enlaces con respecto a fuentes de información sobre amenazas conocidas y bloquear el acceso a dominios maliciosos o sospechosos. Esto evita que las cargas útiles controladas por los atacantes lleguen al LLM en primer lugar. La implementación de listas de permitidos (o políticas de denegación por defecto) es especialmente importante para las herramientas que sirven de puente entre el contenido externo y los sistemas de memoria interna.

Registro y supervisión

Los agentes de IA pueden ejecutar acciones complejas de forma autónoma, sin la supervisión directa de los desarrolladores. Por este motivo, es fundamental contar con una observabilidad completa.

Amazon Bedrock proporciona registros de invocación de modelos, que registran cada par de solicitudes y respuesta. Además, la función Rastreo ofrece una visibilidad detallada de los pasos de razonamiento del agente, el uso de herramientas y las interacciones de memoria. En conjunto, estas herramientas permiten realizar análisis forenses, detectar anomalías y responder a incidentes.

Prisma AIRS está diseñado para la protección en tiempo real de aplicaciones, modelos, datos y agentes de IA. Analiza el tráfico de red y el comportamiento de las aplicaciones para detectar amenazas como la inyección de instrucciones, los ataques de denegación de servicio y la exfiltración de datos, con aplicación en línea a nivel de red y API.

La seguridad de AI Access está diseñada para proporcionar visibilidad y control sobre el uso de GenAI por parte de terceros, lo que ayuda a prevenir fugas de datos, usos no autorizados y resultados perjudiciales mediante la aplicación de políticas y la supervisión de la actividad de los usuarios. Juntos, Prisma AIRS y la seguridad de AI Access ayudan a proteger la creación de aplicaciones de IA empresariales y las interacciones externas de IA.

Cortex Cloud está diseñado para proporcionar un escaneo y una clasificación automáticos de los activos de IA, tanto modelos comerciales como autogestionados, con el fin de detectar datos confidenciales y evaluar la postura de seguridad. El contexto viene determinado por el tipo de IA, el entorno de alojamiento en la nube, el estado de riesgo, la postura y los conjuntos de datos.

Una evaluación de seguridad de IA de Unit 42 puede ayudarlo a identificar de forma proactiva las amenazas con más probabilidades de afectar su entorno de IA.

Si cree que puede haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42 o llame al:

  • Norteamérica: llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
  • Reino Unido: +44.20.3743.3660
  • Europa y Oriente Medio: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 00080005045107

Palo Alto Networks ha compartido estos resultados con nuestros compañeros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar rápidamente medidas de protección para sus clientes y desarticular sistemáticamente a los ciberdelincuentes. Más información sobre Cyber Threat Alliance.

Recursos adicionales

Plantilla de solicitud de resumen de sesión de los Agentes de Bedrock

Plantilla de solicitud de coordinación de los agentes de Bedrock

Referencias

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados Malware Recursos

Pictorial representation of APT Phantom Taurus. The silhouette of a bull facing the reviewer and the Taurus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies.
Grupos de actores de amenazas

Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR
Leer ahora Right arrow
Pictorial representation of APT Stately Taurus. The silhouette of a bull and the Taurus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies.
Grupos de actores de amenazas

De Bookworm a Stately Taurus mediante el marco de atribución de Unit 42
Leer ahora Right arrow
Pictorial representation of the npm packages supply chain attack. A blurred image focusing on a person typing on a laptop with lines of code visible on the screen, illuminated in blue and red lights, suggestive of intense coding or cyber activities.
Amenazas sofisticadas

El gusano “Shai-Hulud” compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 23 de septiembre)
Leer ahora Right arrow
Pictorial representation of a wide-scale SEO poisoning campaign. A digital illustration of a world map in a network style, highlighting continents with glowing lines and connectivity points in a red and blue theme.
Investigación de amenazas

Operación reescritura: actores de amenazas chinos implementan BadIIS en una campaña de envenenamiento SEO a gran escala
Leer ahora Right arrow
A pictorial representation of code assistant LLMs. An open laptop on a desk displaying a complex digital security interface, with ambient red and black lighting in the background.
Investigación de amenazas

Los riesgos de los LLM asistentes de código: contenido nocivo, uso indebido y engaño
Leer ahora Right arrow
Pictorial representation of AdaptixC2. Digital iris with binary code, emphasizing cybersecurity and technology concepts.
Investigación de amenazas

AdaptixC2: un nuevo marco de código abierto utilizado en ataques reales
Leer ahora Right arrow
Pictorial representation of social engineering. Digital illustration of four human profiles connected by glowing neural network lines against a dark background, symbolizing connectivity and technology.
Informes de tendencias

Informe de respuesta ante incidentes de Unit 42 de 2025: edición de ingeniería social
Leer ahora Right arrow
Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars.
Amenazas sofisticadas

Evaluación de amenazas de Muddled Libra: mayor alcance, mayor rapidez, mayor impacto
Leer ahora Right arrow
Pictorial representation of a ClickFix campaign. A glowing, red padlock illuminated with light particles, set against a dark, rainy backdrop.
Investigación de amenazas

Arregla el clic: Prevención del vector de ataque ClickFix
Leer ahora Right arrow
Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow