En Resumen
- Investigadores de Princeton y Sentient Foundation descubrieron un nuevo ataque de inyección de memoria que manipula las memorias de agentes de IA como los basados en ElizaOS, permitiendo transferencias no autorizadas.
- El ataque usó técnicas como Sybil attacks en redes sociales para alterar la percepción del mercado y engañar a los agentes que gestionan millones en criptoactivos.
- Los investigadores desarrollaron CrAIBench, un benchmark para medir la resiliencia de estos agentes ante manipulación contextual.
Los agentes de IA, de entre los cuales algunos manejan millones de dólares en criptoactivos, son vulnerables a un nuevo ataque indetectable que manipula sus memorias, permitiendo transferencias no autorizadas a actores maliciosos.
Así lo indica un estudio reciente de investigadores de la Universidad de Princeton y la Fundación Sentient, que afirma haber encontrado vulnerabilidades en agentes de IA enfocados en criptomonedas, como aquellos que utilizan el popular framework ElizaOS.
La popularidad de ElizaOS lo convirtió en una elección perfecta para el estudio, según Atharv Patlan, estudiante graduado de Princeton y coautor del paper.
"ElizaOS es un agente basado en Web3 popular con aproximadamente 15.000 estrellas en GitHub, por lo que es ampliamente utilizado", comentó Patlan a Decrypt. "El hecho de que un agente tan utilizado tenga vulnerabilidades nos hizo querer explorarlo más a fondo".
Eliza Labs lanzó el proyecto como ai16z en octubre de 2024. Es un framework de código abierto para crear agentes de IA que interactúan y operan en blockchains. La plataforma fue rebautizada como ElizaOS en enero de 2025.
Un agente de IA es un programa de software autónomo diseñado para percibir su entorno, procesar información y tomar acciones para lograr objetivos específicos sin interacción humana. Según el estudio, estos agentes, ampliamente utilizados para automatizar tareas financieras en plataformas blockchain, pueden ser engañados mediante "inyección de memoria", un nuevo vector de ataque que incrusta instrucciones maliciosas en la memoria persistente del agente.
"Eliza tiene un almacén de memoria, e intentamos introducir memorias falsas a través de otra persona que realizaba la inyección en otra plataforma de redes sociales", explicó Patlan.
Los agentes de IA que dependen del sentimiento en redes sociales son especialmente vulnerables a la manipulación, según encontró el estudio.
Los atacantes pueden usar cuentas falsas y publicaciones coordinadas, conocidas como ataque Sybil, nombrado por la historia de Sybil, una joven diagnosticada con Trastorno de Identidad Disociativo, para engañar a los agentes y hacerles tomar decisiones comerciales.
"Un atacante podría ejecutar un ataque Sybil creando múltiples cuentas falsas en plataformas como X o Discord para manipular el sentimiento del mercado", indica el estudio. "Al orquestar publicaciones coordinadas que inflan falsamente el valor percibido de un token, el atacante podría engañar al agente para que compre un token 'inflado' a un precio artificialmente alto, solo para que el atacante venda sus posiciones y haga colapsar el valor del token".
Una inyección de memoria o memory injection attack es un ataque en el que se insertan datos maliciosos en la memoria almacenada de un agente de IA, haciendo que recuerde y actúe según información falsa en interacciones futuras, a menudo sin detectar nada inusual.
Aunque los ataques no se dirigen directamente a las blockchains, Patlan dijo que el equipo exploró toda la gama de capacidades de ElizaOS para simular un ataque en el mundo real.
"El mayor desafío fue determinar qué utilidades explotar. Podríamos haber hecho simplemente una transferencia simple, pero queríamos que fuera más realista, así que analizamos todas las funcionalidades que proporciona ElizaOS", explicó. "Tiene un amplio conjunto de características debido a una amplia gama de plugins, por lo que era importante explorar tantas como fuera posible para hacer que el ataque fuera realista".
Patlan dijo que los hallazgos del estudio fueron compartidos con Eliza Labs, y las discusiones están en curso. Después de demostrar un ataque exitoso de inyección de memoria en ElizaOS, el equipo desarrolló un marco de evaluación formal para evaluar si existían vulnerabilidades similares en otros agentes de IA.
Trabajando con la Fundación Sentient, los investigadores de Princeton desarrollaron CrAIBench, un benchmark que mide la resiliencia de los agentes de IA a la manipulación de contexto. El CrAIBench evalúa estrategias de ataque y defensa, centrándose en prompts de seguridad, modelos de razonamiento y técnicas de alineación.
Patlan dijo que una conclusión clave de la investigación es que la defensa contra la inyección de memoria requiere mejoras en múltiples niveles.
"Junto con mejorar los sistemas de memoria, también necesitamos mejorar los propios Large Language Model (LLM) para distinguir mejor entre contenido malicioso y lo que el usuario realmente pretende", afirmó. "Las defensas deberán funcionar en ambos sentidos: fortaleciendo los mecanismos de acceso a la memoria y mejorando los modelos".
En respuesta a la solicitud de comentarios de Decrypt sobre el informe, el Director de Eliza Labs, Sebastian Quinn, enfatizó el ritmo del desarrollo en curso y la importancia de evaluar la iteración más actual de la plataforma.
"El informe de investigación refleja una instantánea temprana de una plataforma que evoluciona por hora", dijo Quinn en un correo electrónico. "Reconocemos con gusto que muchas personas en todo el mundo están actualizando y mejorando nuestra plataforma cada hora, y nos complace que nuestra plataforma haya continuado aumentando su robustez, confiabilidad, uso, usuarios activos diarios y commits sin incidentes".
Abordando el contexto más amplio del informe, Quinn destacó el valor de la transparencia y la posición única de Eliza Labs dentro de la industria.
"También es crucial señalar que la razón por la que Princeton puede investigar nuestra tecnología de IA, a diferencia de nuestros pares, es que somos una de las pocas empresas de tecnología de IA de código abierto en el mercado para web3", dijo. "Otros proyectos de código cerrado ni siquiera dan a su tecnología la oportunidad de ser criticada y revisada por pares, por lo que vemos la crítica como un logro y testimonio de cuán robusta es nuestra tecnología".
En respuesta a si la investigación condujo a cambios específicos, Quinn dijo que no se realizaron actualizaciones directas como resultado, explicando que ElizaOS se actualiza continuamente por su comunidad de código abierto, a menudo más rápido de lo que la investigación externa puede seguir el ritmo.
"Algunos de los problemas de autenticación que existen al empoderar a los agentes para hacer cosas con contraseñas, estamos orgullosos de decir que hemos sido los primeros en el mercado en resolver estos problemas en web3", dijo. "Continuaremos innovando como comunidad para asegurar que ElizaOS sea la columna vertebral de la industria de IA de Web3".
Editado por Sebastian Sinclair