Redazione RHC : 29 agosto 2025 10:22
Anthropic ha alertado sobre una nueva amenaza relacionada con las extensiones de navegador «inteligentes»: los sitios web pueden infiltrar comandos ocultos que un agente de IA ejecutará sin pensar. Anthropic ha lanzado una versión de investigación de la extensión Claude para Chrome y, al mismo tiempo, ha publicado los resultados de pruebas internas: al ejecutarse en un navegador, los modelos son susceptibles a la inyección de comandos en el 23,6 % de los casos de prueba sin protección. Estos datos han generado un debate sobre la seguridad de integrar agentes autónomos de IA en navegadores web.
La extensión abre una barra lateral con contexto constante de lo que sucede en las pestañas y, bajo demanda, proporciona acceso a acciones específicas, desde grabar reuniones hasta enviar respuestas, desde preparar informes de gastos hasta controlar las funciones del sitio web. El acceso del usuario se rige por permisos, y el nuevo producto se lanza en versión preliminar solo para mil suscriptores del plan Max, que cuesta entre $100 y $200 al mes; el resto está en lista de espera.
El proyecto se basa en la función Uso de la computadora, lanzada en octubre de 2024. En aquel entonces, Claude podía tomar capturas de pantalla y, literalmente, mover el cursor para una persona; La integración es ahora más profunda: el agente se ejecuta directamente en Chrome, sin simular clics externos.
Las comprobaciones de seguridad cubrieron 123 casos agrupados en 29 escenarios de ataque. Sin restricciones adicionales, los modelos sucumbieron a las instrucciones integradas en el 23,6 % de los intentos. En un ejemplo, un correo electrónico malicioso instó al asistente a eliminar los mensajes entrantes «para limpiar la bandeja de entrada» y, sin restricciones, el agente eliminó los mensajes sin dar ninguna explicación.
Para reducir el riesgo, Anthropic ha añadido varias capas de protección. El usuario puede otorgar y revocar el acceso a sitios específicos. El agente requiere confirmación antes de publicar, comprar o transferir datos personales, y categorías como servicios financieros, contenido para adultos y sitios con material pirateado se cierran por defecto. En pruebas repetidas, la tasa de éxito de los ataques sin conexión se redujo al 11,2 %, y en una serie independiente de cuatro técnicas solo para navegador, la nueva lógica redujo el resultado del 35,7 % a 0.
El desarrollador independiente Simon Willisson calificó el 11,2 % restante como de riesgo inaceptablemente alto y cree que la idea misma de una extensión de navegador del agente es inherentemente vulnerable. Según el especialista, sin barreras absolutamente fiables, este enfoque conducirá inevitablemente al abuso.
Las preocupaciones se sustentan en la experiencia de la competencia. El equipo de seguridad de Brave demostró recientemente que el navegador Comet de Perplexity podía ser manipulado para realizar acciones no autorizadas ocultando instrucciones en publicaciones de Reddit. Cuando un usuario solicitaba al agente que repitiera la conversación, este abría Gmail en una pestaña aparte, extraía la dirección e iniciaba los procedimientos de recuperación de acceso. El intento de Perplexity de corregir la falla no tuvo éxito. Según se informa, Brave logró eludir las medidas propuestas.
Anthropic pretende utilizar versiones preliminares limitadas para recopilar patrones de ataque reales y perfeccionar la protección antes de que esté ampliamente disponible. Sin embargo, con el nivel actual de madurez, los riesgos se transfieren al usuario, quien utiliza un asistente web tan abierto bajo su propia responsabilidad. Willisson señala que esperar que las personas evalúen competentemente todas las amenazas en un modelo tan dinámico es poco realista, por lo que el problema de seguridad debería ser abordado por los propios proveedores antes de que el producto se publique.
RedazioneConocemos al hombre considerado uno de los científicos más polifacéticos y brillantes del siglo pasado, quizá solo comparable a Einstein. Poseía un amplio abanico de talentos científicos, desarr...
Muchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
