En la WWDC26, Apple presentó una función de la app Contraseñas que, integrada con Apple Intelligence y Safari, permite a un agente sustituir de forma automática credenciales filtradas o débiles en iOS 27, iPadOS 27 y macOS 27, sin intervención del usuario. La utilidad es clara: los avisos de contraseñas comprometidas suelen ignorarse, y automatizar el cambio reduce el tiempo durante el cual una credencial expuesta sigue siendo válida.
El artículo, no obstante, advierte de que existe una diferencia abismal entre detectar un riesgo y otorgar a un agente la autoridad de modificar la credencial que controla una cuenta. Un agente de cambio de contraseñas necesita autenticarse, manejar un secreto sensible e invalidar el acceso previo, lo que lo convierte en un sistema con privilegios elevados. La guía conjunta de los servicios de inteligencia Five Eyes sobre adopción de IA agéntica recomienda privilegios mínimos, aprobación humana en acciones de alto impacto, registro detallado y comportamiento a prueba de fallos.
El texto identifica varios riesgos concretos. Primero, la inyección de instrucciones: cualquier página web visitada por el navegador es entrada no confiable, y los modelos de lenguaje no imponen una frontera fiable entre instrucciones y datos. Un sitio, anuncio o widget comprometido podría誘導 al agente a enviar credenciales a otro destino, desactivar la autenticación multifactor o añadir métodos de recuperación controlados por el atacante. Segundo, el manejo del secreto: el modelo no debería recibir jamás la contraseña actual ni la nueva en su contexto; un servicio de credenciales separado debe rellenar los campos tras verificar el origen del sitio. Tercero, los bloqueos y la pérdida de acceso si el flujo falla o si el sitio cambia su interfaz.
A fecha del 8 de junio de 2026, la función está en beta para desarrolladores y Apple no ha publicado detalles completos de su arquitectura de seguridad, requisitos de sitios compatibles, gestión de fallos ni modelo de aprobación. Hasta que se aclaren estos puntos, el procesamiento en el dispositivo no basta como respuesta a un entorno web hostil.