Un equipo de investigación ha presentado Prismata, un sistema de defensa diseñado para proteger a los agentes web autónomos frente a ataques de inyección de prompts entre sitios. El trabajo, publicado en arXiv, parte de la premisa de que estos agentes, al interpretar lenguaje natural como instrucciones, vuelven a abrir una vieja vulnerabilidad de la web: la ya histórica mezcla de contenido fiable y no fiable que hizo célebre al Cross-Site Scripting (XSS). En ese escenario, un tercero —por ejemplo, contenido generado por usuarios o insertado en una página— puede manipular al agente para que ejecute acciones no deseadas.
La propuesta articula una política de mínimo privilegio contextual. Por un lado, aplica un mecanismo de derivación dinámica de confianza que asigna etiquetas de permiso a los distintos fragmentos de una página. Para limitar los errores de etiquetado, los autores recurren a modelos clásicos de integridad, de modo que los fallos solo pueden reducir el nivel de privilegio y el alcance del error está acotado. Por otro lado, un componente de confinamiento mecánico materializa esas etiquetas: redactor de contenido no autorizado y restricción de las capacidades del agente.
Una de las claves operativas es que Prismata no necesita anotaciones del desarrollador, lo que la hace aplicable a la larga cola de sitios web sin cambios específicos. En las pruebas realizadas contra ataques publicados recientemente contra agentes web, incluidas variantes adaptativas, el sistema reduce de forma significativa la tasa de éxito de los ataques a la vez que preserva la utilidad del agente en tareas legítimas. El artículo se enmarca en el campo de la criptografía y la seguridad y se dirige a la comunidad de investigadores que trabajan en agentes autónomos y defensas frente a ataques adversariales.
