Déjalo en manos de un hacker: populares sistemas de control de IA resultan totalmente vulnerables
Otra vez la sed de progreso se impuso al sentido común y a la lógica.
La revisión de frameworks populares para agentes de IA mostró problemas sistémicos con la seguridad del acceso. El equipo de Grantex Research estudió 30 proyectos de código abierto con una popularidad acumulada de más de 500 000 estrellas en GitHub y concluyó que casi todas las soluciones usan esquemas primitivos de autorización que no permiten controlar las acciones de los agentes ni rastrear su comportamiento.
El análisis abordó parámetros como la delimitación de permisos, la existencia de una identidad única para cada agente, el consentimiento del usuario, la revocación de acceso, la auditoría de acciones y el control de la delegación. Los resultados fueron preocupantes. En el 93% de los casos los desarrolladores se limitan a claves API sin restricciones de permisos. Dichas claves se almacenan en variables de entorno y otorgan al agente acceso total a todas las operaciones en nombre del propietario. No es posible limitar las acciones del agente, establecer una duración del acceso ni especificar un contexto concreto.
Ninguno de los proyectos evaluados implementó una identidad única para cada agente. Cuando varios agentes usan la misma clave, es imposible determinar quién realizó una acción concreta. La ausencia de esa vinculación priva al sistema de transparencia y complica la investigación de incidentes.
En casi todos los proyectos falta un mecanismo de consentimiento del usuario. En el 97% de los casos los accesos son fijados por el desarrollador de antemano, sin la participación del usuario final. Incluso en aquellas soluciones donde se prevé la confirmación manual de acciones, se trata solo de una pausa en la ejecución y no de la concesión real de permisos limitados.
La revocación de acceso no es mejor. Todos los proyectos usan un modelo binario: o se cambia la clave para todos los agentes, o no hay cambios. Cuando operan varios agentes, el compromiso de uno exige el reemplazo completo de las credenciales, lo que amplía la escala de las consecuencias.
El registro de actividades es raro y, por lo general, está implementado a nivel de aplicación. Solo el 13% de los proyectos mantiene algún tipo de bitácora, pero incluso en esos casos las entradas no vinculan la acción concreta con el agente, el usuario y los permisos concedidos. Tampoco existe control de la delegación: cuando los agentes interactúan, los accesos se transfieren por completo o se duplican sin restricciones.
El problema ya trascendió la teoría. En febrero de 2026 especialistas detectaron más de 21 000 instancias públicas de OpenClaw con filtraciones de claves y tokens. El análisis de los servidores MCP mostró vulnerabilidades, incluida la falta de autenticación y cifrado. En otros incidentes se filtraron millones de claves y credenciales, lo que confirmó los riesgos del almacenamiento centralizado de accesos.
La conclusión del informe es inequívoca: las arquitecturas actuales de agentes de IA no cumplen con los requisitos básicos de seguridad. Los autores proponen introducir tokens de acceso limitados, identidad única para los agentes, mecanismos de consentimiento del usuario, revocación selectiva de permisos, auditoría completa y control de las cadenas de delegación. Sin estas medidas, los sistemas con agentes seguirán siendo vulnerables y pueden convertirse en uno de los puntos clave de ataque en los próximos años.