Añadir Mangas Verdes como fuente preferida de Google de forma gratuita.
Mantente informado con las últimas noticias de actualidad.
La promesa suena grande, pero el agujero es pequeño y muy real. Mientras OpenAI habla de un “verdadero superasistente”, Perplexity vende Comet como el navegador que trabaja para el usuario y Google presenta Gemini en Chrome como una nueva etapa de la navegación, una investigación académica ha puesto el foco en algo menos vistoso, que ocurre cuando ese ayudante mira la pantalla, salta entre pestañas y recibe órdenes escondidas.
Un estudio probó siete navegadores y cuatro abrieron vías de riesgo
El 30 de junio, la Universidad de Washington presentó en el workshop Agents in the Wild un trabajo centrado en siete navegadores agénticos populares y su relación con la política de mismo origen.
El resultado fue incómodo. Cuatro de los siete navegadores analizados abrían vías de riesgo relevantes.
La cuestión no gira en torno a una vulnerabilidad clásica del navegador, sino a la mezcla entre automatización y confianza. Estos sistemas interpretan el contenido visible de la pantalla y además coordinan tareas entre pestañas, de modo que el agente no solo lee una web, también actúa dentro de ella.
Ahí entra una técnica bien conocida en seguridad, el prompt injection, que altera el comportamiento del modelo mediante instrucciones ocultas en contenido externo. Si el agente procesa esas órdenes como si fueran parte legítima de la tarea, la frontera entre una página y otra empieza a perder consistencia.
La prueba de concepto mostró cómo un agente puede saltar de una página a otra
Los investigadores ejecutaron una prueba de concepto completa en ChatGPT Atlas en Agent Mode.
El mecanismo descrito tiene algo de truco de manos digital. Un agente puede encontrarse con un iframe que contiene una instrucción maliciosa, usar esa orden para acceder a contenido de otro origen y después trasladar la información a un formulario controlado por un atacante.
No hace falta imaginar una escena de cine para entenderlo. Es más parecido a un asistente obediente que, mientras rellena una gestión en una ventanilla, escucha a un extraño susurrarle otra instrucción y acaba copiando un dato privado en el impreso equivocado.
Ese escenario conecta con el texto oculto para IA, donde el problema no era romper el sistema por fuerza bruta, sino lograr que la máquina obedeciera a quien no debía.
Dar menos permisos al agente reduce el problema
No todos los diseños exponen el mismo nivel de riesgo.
El equipo observó que los navegadores que conceden menos permisos al agente tienden a reducir la exposición. Cuanto más margen tiene el sistema para leer, cruzar y volcar información entre contextos distintos, más superficie entrega al ataque.
Esa es la contradicción de fondo. La gracia de estos navegadores consiste precisamente en hacer más cosas por nosotros, pero cada permiso extra amplía también la posibilidad de que una instrucción oculta desvíe la tarea.
Algo parecido ya se veía en los agentes para Chrome, donde la automatización dentro del navegador dejó de ser una idea de laboratorio para convertirse en producto con ambición comercial.
La investigación acotó su alcance y evitó servicios reales
Conviene fijarse también en lo que el estudio no hizo. El trabajo se basó en versiones concretas y en pruebas de concepto, sin ataques contra servicios reales ni exposición de datos sensibles de usuarios.
Esa cautela importa porque separa dos planos que a menudo se mezclan. Una cosa es demostrar que una cadena de acciones resulta viable y otra muy distinta explotarla contra personas o plataformas en funcionamiento.
Cuatro de siete bastaron para cuestionar una promesa central de estos navegadores.