Los navegadores impulsados por IA (o “agénticos”) ya no son ciencia ficción: pueden leer tu correo, resumir tu calendario, hacer reservas e incluso actuar en tu nombre. OpenAI presentó ayer Atlas (por ahora solo Mac), y otros como Comet de Perplexity van por la misma ruta. Fantástico… hasta que pensamos en el riego real: las inyecciones de prompt indirectas.
¿Qué es el problema en una frase?
Un atacante puede ocultar instrucciones —visibles o no para un humano— dentro de una página o una imagen. El LLM las lee y usa las capacidades del navegador (agentes, capturas, acciones entre dominios) para ejecutar órdenes maliciosas: acceder a cuentas, extraer datos sensibles o mover fondos.
Ejemplos prácticos
🧾 Capturas con texto oculto: el navegador toma una captura y el LLM la analiza. Si en esa imagen hay texto “imperceptible” (fuente pequeña, color similar al fondo, o metadatos), el modelo lo procesa y puede ejecutar comandos que el atacante haya incrustado.
🌐 Contenido web con instrucciones visibles: una web legítima que incluye, aparentemente, un bloque de “ayuda” puede llevar instrucciones como “usar la función X para transferir” — si pides al navegador que explore esa web, el LLM actuará sobre todo el contenido, bueno y malo.
🔗 Acciones entre dominios: el agente puede saltar de una web a la de tu banco o a tu correo, aprovechando sesiones ya iniciadas si el navegador dispone de permisos o cookies.
¿Por qué esto es especialmente grave?
Porque aquí no hay un “bug” clásico: hay un fallo en el diseño de interacción humano–IA y en la gestión de permisos. El LLM actúa como intérprete omnipotente que no distingue intención legítima de manipulación deliberada. La superficie de ataque incluye: oráculos de texto, capturas de pantalla, interacciones con APIs y navegación automatizada.
Qué deberían considerar los equipos de producto / seguridad
1º 🔐 Principio de menor privilegio para agentes: que los agentes solo puedan actuar con permisos explícitos y temporales.
2º 🧾 Filtrado y validación de entradas visuales: no todo texto detectado en una imagen debe ser ejecutable; aplicar heurísticas y reglas de confianza.
3º 🛡️ Política clara de dominios y contextos: bloquear acciones automáticas que impliquen transferencia de datos o dinero entre dominios sensibles.
4º 📜 Registro y consentimiento explícito: avisos claros al usuario cada vez que un agente vaya a realizar una acción crítica; registro inmutable de quién autorizó qué.
5º 🧪 Pruebas adversariales: incorporar prompt injection en los test de QA y red teaming para simular ataques.
🔎 ¿Has probado ya alguno de estos navegadores? ¿Qué medidas crees que deberían ser obligatorias antes de permitir agentes que actúen sobre cuentas sensibles? Te leo en los comentarios.