Qué pasó después de que 2k personas intentaran hackear a mi asistente de IA

Reacción general

  • A muchos les pareció que el experimento era divertido e interesante, pero la mayoría pensó que el optimismo sobre la inyección de prompts estaba exagerado.
  • El resultado de “no se filtraron secretos en ~6k intentos” se vio como sugerente, pero lejos de ser concluyente.

Preocupaciones sobre el diseño experimental

  • Solo correos de un solo intento; no hubo interacciones multimensaje tipo “hervir la rana”, que varios consideran el verdadero peligro.
  • El agente, por diseño, en su mayor parte no respondía a los correos para ahorrar coste. Los críticos sostienen que, si un asistente nunca responde, es fácil que sea “seguro” pero inútil.
  • Casi todas las entradas eran maliciosas, a diferencia de las bandejas de entrada reales, donde predominan los correos legítimos. Esto permite que el modelo trate todo el canal como hostil.
  • Solo se probó de forma significativa la exfiltración directa, en banda, vía correo; los canales indirectos (herramientas, solicitudes web, sistema de archivos, otra exfiltración por red) estuvieron en gran medida ausentes.
  • El procesamiento por lotes temprano contaminó el comportamiento; las ejecuciones posteriores usaron un contexto nuevo por correo, lo que algunos sintieron que empujaba al modelo a un modo de “paranoia” poco realista.

Interpretación de seguridad y limitaciones

  • Los comentaristas subrayaron que 0 fallos en 6k intentos aleatorios no acota la tasa de éxito de ataques en el peor caso; los modelos estocásticos con una tasa baja de fallos aún pueden mostrar ningún fallo en muestras pequeñas.
  • La conclusión de “estar menos preocupados por la inyección de prompts” fue ampliamente cuestionada; la gente enfatizó el riesgo en la cola, métodos de jailbreaking de primera categoría aún desconocidos y ataques de confusión de roles.
  • Varios señalaron que es poco probable que los atacantes con buenos jailbreaks los quemen en un concurso público de bajo riesgo, especialmente con recompensas modestas.

Utilidad frente a seguridad

  • Varios comentarios argumentaron que la prueba no medía la compensación clave: distinguir instrucciones maliciosas de legítimas sin dejar de hacer trabajo útil.
  • La gente quería métricas sobre falsos positivos/falsos negativos y pruebas de que los flujos de trabajo normales basados en correo seguirían funcionando.

Coste, operaciones y privacidad

  • El coste (~$500) y el riesgo de “denegación de cartera” se mencionaron repetidamente; algunos sugirieron modelos más baratos o canales distintos.
  • El filtrado de spam de Google y la suspensión de la cuenta reforzaron que estos agentes deberían ejecutarse en cuentas desechables.
  • Publicar direcciones de correo parcialmente redactadas en el registro de ataques planteó preocupaciones de privacidad y ética.

Sugerencias para mejores seguimientos

  • Reproducir el mismo corpus en varios modelos (incluidos los más pequeños/locales) y publicar resultados comparativos.
  • Permitir que el agente actúe y responda de verdad, conectar herramientas/acceso web reales, mezclar correos benignos y maliciosos, y probar ataques de horizonte más largo y de varios pasos.