AiSec: Framework de Analisis de Seguridad para Agentes de IA

En marzo de 2025, el equipo de seguridad de Xcapit recibio un pedido que pondria a prueba cada suposicion que tenian sobre seguridad en IA: auditar OpenClaw, un framework de agentes de IA open-source que se estaba desplegando en servicios financieros y salud — industrias donde una unica vulnerabilidad podria exponer millones de registros. El equipo llevaba seis anos construyendo herramientas de seguridad, comenzando con penetration testing manual en 2019 y evolucionando a lo largo del boom de la IA. Pero OpenClaw era diferente. Sus agentes podian llamar APIs externas, ejecutar codigo y encadenar acciones autonomamente. La superficie de ataque no era una aplicacion web con endpoints conocidos — era un sistema que podia decidir, en tiempo de ejecucion, hacer cosas que sus creadores nunca anticiparon.

El Desafio

Los escaneres de seguridad tradicionales fueron construidos para un mundo donde el software hace lo que dice su codigo. Snyk encuentra CVEs conocidos en dependencias. Semgrep busca patrones de codigo contra bases de datos de vulnerabilidades. Estas herramientas son esenciales — pero son ciegas ante una categoria completamente nueva de amenazas que emergen cuando los agentes de IA operan autonomamente.

Consideremos los vectores de ataque que los escaneres tradicionales no pueden detectar:

• Inyeccion de prompts: Un atacante inserta instrucciones en datos proporcionados por el usuario que sobreescriben el prompt del sistema del agente. En 2024, investigadores demostraron que un CV subido a una herramienta de RRHH con IA podia instruir al agente para enviar por email todos los datos de candidatos a una direccion externa — y el agente cumplio, porque no podia distinguir entre sus instrucciones y las del atacante.
• Exfiltracion de datos a traves de salidas del modelo: Un agente que procesa documentos confidenciales puede ser manipulado para codificar datos sensibles en sus respuestas — no a traves de un exploit de red, sino elaborando entradas que hacen que el modelo 'filtre' datos de entrenamiento o contenido de la ventana de contexto.
• Escalamiento de privilegios via uso de herramientas: Los agentes de IA que pueden llamar herramientas (bases de datos, APIs, comandos de shell) pueden ser enganados para encadenar llamadas de herramientas de maneras que escalen privilegios. Un agente con acceso de solo lectura a la base de datos, por ejemplo, podria ser manipulado para llamar a otra herramienta que escriba datos.
• Ataques a la cadena de suministro sobre pesos de modelos: Actores maliciosos pueden publicar modelos fine-tuneados que contienen backdoors — el modelo se comporta normalmente con entradas estandar pero activa comportamiento danino ante frases gatillo especificas.

Ningun escaner existente aborda estas amenazas de forma holistica. OWASP publico su AI Top 10 en 2023, MITRE lanzo el framework ATLAS, y el EU AI Act exigio evaluaciones de seguridad — pero las herramientas quedaron detras de los estandares. Las organizaciones sabian que debian evaluar, pero no tenian una forma automatizada de hacerlo.

La Auditoria de OpenClaw: Validacion en el Mundo Real

Por que OpenClaw

OpenClaw fue elegido como objetivo de validacion de AiSec porque representa el patron de arquitectura mas comunmente desplegado en IA empresarial: un framework multi-agente donde los agentes se coordinan a traves de estado compartido, llaman herramientas externas via APIs y procesan entradas de usuarios con sanitizacion minima. Si AiSec podia auditar OpenClaw de forma integral, podia auditar la gran mayoria de despliegues de agentes de IA en produccion.

Metodologia de Auditoria

AiSec desplego los 35 agentes de seguridad especializados contra el codigo de OpenClaw en un proceso de tres fases:

• Fase 1 — Escaneo individual de agentes: Cada uno de los 35 agentes analizo el codigo independientemente desde su perspectiva especializada. El agente de inyeccion de prompts probo el manejo de entradas en todos los endpoints de agentes. El agente de escalamiento de privilegios mapeo cadenas de llamadas a herramientas y limites de permisos. El agente de cadena de suministro analizo la carga de modelos y la integridad de dependencias.
• Fase 2 — Correlacion cruzada entre agentes: El motor de correlacion ingesto los hallazgos de los 35 agentes y aplico 31 reglas de correlacion para identificar vulnerabilidades compuestas — casos donde hallazgos de baja severidad individual se combinan en cadenas de ataque criticas. Por ejemplo: una brecha de validacion de entrada de severidad media mas una mala configuracion de permisos de herramientas de severidad media juntas habilitan un camino critico de exfiltracion de datos.
• Fase 3 — Verificacion manual y clasificacion de severidad: El sistema de puntuacion AI-CVSS de AiSec clasifico cada hallazgo por severidad, considerando factores especificos de IA como manipulabilidad del modelo, exposicion de chain-of-thought y alcance de acciones autonomas. Ingenieros de seguridad humanos verificaron una muestra de hallazgos para validar la precision.

Lo que se Encontro

La auditoria identifico 63 hallazgos de seguridad — 4.2x mas que los encontrados por Snyk y Semgrep al escanear el mismo codigo. El desglose por categoria revela la brecha entre el escaneo tradicional y el analisis de seguridad especifico para IA:

• Vulnerabilidades de inyeccion de prompts: 14 hallazgos, incluyendo 3 caminos criticos donde las entradas de usuarios podian sobreescribir prompts del sistema en configuraciones de agentes en produccion
• Uso de herramientas y escalamiento de privilegios: 11 hallazgos, incluyendo cadenas de delegacion agente-a-agente que eludian limites de permisos
• Manejo de datos y riesgos de exfiltracion: 9 hallazgos, incluyendo contenidos de ventana de contexto sin cifrar persistidos en almacenamiento compartido
• Riesgos de cadena de suministro y dependencias: 8 hallazgos, incluyendo descargas de pesos de modelos sin firmar desde registros publicos
• Vulnerabilidades compuestas (correlacion cruzada): 12 hallazgos que ningun escaner individual detecto, representando las cadenas de ataque mas criticas
• Configuracion y hardening de despliegue: 9 hallazgos relacionados con configuraciones por defecto, endpoints de debug expuestos y rate limits faltantes

Las 12 vulnerabilidades compuestas fueron particularmente significativas. Son cadenas de ataque que solo se hacen visibles cuando se correlacionan hallazgos de multiples dominios de seguridad — exactamente el tipo de amenaza que los escaneres de proposito unico no detectan. Una herramienta de analisis estatico ve un manejador de entrada permisivo. Un escaner de dependencias ve una biblioteca desactualizada. Solo un motor de correlacion ve que juntos, permiten a un atacante inyectar un prompt que dispara una dependencia vulnerable para exfiltrar datos.

De Consultoria a Producto

AiSec no empezo como un producto. Empezo como una necesidad interna. En 2019, la practica de ciberseguridad de Xcapit realizaba penetration testing manual y consultoria de seguridad para clientes en America Latina y Europa. A medida que el equipo acumulo metodologias de auditoria, comenzo a automatizar tareas de analisis repetitivas — primero como scripts, luego como agentes coordinados, luego como un framework completo.

La evolucion siguio un camino claro: la consultoria manual (2019-2021) construyo la experiencia de dominio. Las herramientas internas (2021-2023) codificaron esa experiencia en agentes automatizados. El framework open-source (2023-2024) hizo que las herramientas fueran reutilizables entre proyectos. Y la plataforma cloud (2025) la hizo accesible para organizaciones sin equipos de seguridad dedicados. Cada etapa se construyo sobre los artefactos de la anterior, razon por la cual los 250+ detectores de AiSec reflejan hallazgos de auditorias reales en lugar de taxonomias teoricas de vulnerabilidades.

Resultados e Impacto

• 35 agentes de seguridad especializados con 250+ detectores de vulnerabilidades
• 63 hallazgos en la auditoria de OpenClaw (4.2x mas que Snyk/Semgrep solos)
• 31 reglas de correlacion cruzada entre agentes para deteccion de vulnerabilidades compuestas
• 8 frameworks de compliance (OWASP AI Top 10, NIST AI RMF, EU AI Act, ISO 42001, ISO 27001, GDPR, SOC2, MITRE ATLAS)
• 4 minutos de tiempo promedio de escaneo con ejecucion paralela de agentes
• Auto-remediacion con parches de codigo generados y creacion de PR
• 12 vulnerabilidades compuestas descubiertas que ningun escaner individual detecto

Stack Tecnologico

• Motor de orquestacion Python/Django coordinando 35 agentes de seguridad en paralelo
• Docker/Kubernetes para ejecucion aislada de escaneos con limites de recursos por agente
• Falco con sondas eBPF para monitoreo de contenedores en tiempo de ejecucion y deteccion de anomalias
• Sistema de puntuacion AI-CVSS adaptado para evaluacion de severidad de vulnerabilidades especificas de IA
• Exportacion en formato SARIF para integracion nativa con GitHub Actions, GitLab CI y Jenkins