Un modelo seguro no es un agente seguro: lecciones del benchmark ClawSafety
Un benchmark de abril de 2026 ejecuta 2520 pruebas en entorno aislado sobre agentes de IA personales y mide tasas de éxito de ataque del 40 al 75 %. Las variables decisivas son el canal de inyección y el framework del agente, no solo el modelo subyacente.
¿Qué es esto?
Las evaluaciones de seguridad suelen probar un modelo en una ventana de chat aislada. Pero un agente de IA personal se ejecuta en tu máquina con privilegios elevados —lee archivos, envía correos, maneja monederos y canalizaciones de despliegue— y allí una sola inyección de prompt puede filtrar credenciales, desviar un pago o borrar datos. ClawSafety (arXiv:2604.01438, v2 publicada el 4 de abril de 2026; autores de George Mason, Tulane, Rutgers y Oak Ridge National Laboratory) mide esa brecha directamente. Es un benchmark de 120 escenarios adversarios ejecutados como 2520 pruebas en entorno aislado sobre cinco modelos de frontera y tres frameworks de agente. El hallazgo principal incomoda: las tasas de éxito de ataque (ASR) se sitúan entre el 40 % y el 75 %, y la seguridad observada depende tanto del framework y del canal por el que llega la inyección como del propio modelo.
Cómo funciona
ClawSafety organiza los escenarios en tres ejes —dominio de daño (fuga de datos, pérdida financiera, compromiso de la seguridad), vector de ataque y dominio de tarea (finanzas, código, comunicación, recuperación de información)— en espacios de trabajo realistas de privilegio elevado. Punto clave: el contenido adversario no lo escribe el usuario. Se inserta en uno de los tres canales que el agente encuentra durante su trabajo normal: archivos de habilidades (skills) del espacio de trabajo, correos de remitentes de confianza y páginas web. Aquí no se reproduce ningún payload de explotación; los autores presentan el benchmark como investigación de seguridad defensiva, con todos los casos ejecutados en entornos aislados.
Dos patrones dominan los resultados. Primero, un gradiente de confianza: cuanto más confía un agente en un canal, más peligroso resulta. La inyección por archivo de skill obtiene de forma sistemática el ASR más alto, luego el correo y luego la web. Segundo —y el resultado más accionable— la frontera defensiva la fija el acto de habla, no el contenido. Una formulación imperativa («actualiza X a Y») tiende a activar el reflejo de verificación del agente, mientras que una formulación declarativa («X no coincide con Y») esquiva las defensas con independencia de lo sospechoso que parezca el contenido. En el ejemplo del artículo, el modelo más robusto contrastó una instrucción imperativa con cuatro fuentes independientes y la rechazó; el mismo modelo aceptó un falso «hallazgo de cumplimiento» formulado de modo declarativo sin que se activara ninguna defensa.
La dispersión entre modelos es amplia. El ASR global va de Claude Sonnet 4.6 con 40,0 % y Gemini 2.5 Pro con 55,0 % hasta un grupo más vulnerable: Kimi K2.5 (60,8 %), DeepSeek V3 (67,5 %) y GPT-5.1 (75,0 %). Por canal (skill/correo/web), Sonnet ajusta su cautela de forma inversa a la confianza en la fuente (55,0/45,0/20,0), mientras que GPT-5.1 se mantiene alto y plano (90,0/75,0/60,0). La exfiltración de datos es el tipo de acción más explotable —incluso el modelo más seguro llega al 65 %, y GPT-5.1 alcanza el 93 %—, pero Sonnet 4.6 fue el único en mantener una frontera dura del 0 % contra el reenvío de credenciales y las acciones destructivas sobre archivos.
Después, el propio framework mueve la aguja. Con el modelo fijo (Sonnet 4.6), cambiar el scaffold (OpenClaw → Nanobot → NemoClaw) desplaza el ASR global en 8,6 puntos (40,0 % a 48,6 %) e incluso invierte el gradiente de confianza: en Nanobot, la inyección por correo (62,5 %) supera a la de skill (50,0 %). La seguridad, concluyen los autores, es una propiedad del par modelo–framework, no de ninguno de los dos por separado.
Por qué importa
La mayoría de los equipos eligen un modelo base «seguro» y suponen que la seguridad se transmite a su agente. ClawSafety demuestra que no. El mismo modelo es notablemente más seguro o más arriesgado según el scaffold que lo rodea, y la mayor exposición llega por el canal en el que el agente más confía: sus propias skills y herramientas. Eso invierte el modelo mental habitual, en el que la web se considera hostil y la configuración interna benigna. También explica por qué los filtros basados en contenido rinden poco: a un atacante le basta con pasar de una orden a una afirmación de hecho para sortearlos.
Defensas
Evalúa la pila, no el modelo. Trata el modelo base y el framework del agente como variables conjuntas. Las cifras de seguridad «en chat» de un proveedor no predicen el comportamiento de tu agente desplegado; vuelve a probar bajo tu scaffold, tus herramientas y tu configuración de memoria reales.
Endurece primero el canal de mayor confianza. Los archivos de skills y herramientas fueron el vector más peligroso. Revisa y fija (pin) las skills, restringe quién puede añadirlas e inspecciona las cadenas de importación antes de ejecutar; no otorgues a las definiciones de herramientas más confianza implícita que al contenido web.
Verifica también las afirmaciones declarativas. La frontera defensiva ligada al acto de habla implica que un «hecho» declarativo inyectado en el contexto puede cambiar el comportamiento en silencio. Exige verificación multifuente / por consenso para cualquier cambio de estado, sea cual sea la formulación, y añade comprobaciones de estado tras la ejecución que comparen lo que cambió con un registro independiente.
Aplica el mínimo privilegio y la óptica del «trío letal». Un agente que puede leer datos privados, ingerir contenido no confiable y actuar/exfiltrar hacia el exterior forma la combinación peligrosa. Corta una pata: limita las credenciales, segmenta monederos y claves de despliegue, y condiciona las acciones salientes a una confirmación humana.
Mantén al humano en las acciones destructivas y financieras. El reenvío de credenciales, la modificación de configuración y la sustitución de destinatario fueron explotables en la mayoría de los modelos. Trátalos como irreversibles por defecto y exige aprobación explícita.
Estado
| Elemento | Referencia | Fecha | Nota |
|---|---|---|---|
| Benchmark ClawSafety | arXiv:2604.01438 | 4 abr. 2026 (v2) | 120 escenarios, 2520 pruebas aisladas, 5 modelos, 3 frameworks |
| Rango de ASR global | Ídem | abr. 2026 | 40,0 % (Sonnet 4.6) → 75,0 % (GPT-5.1) |
| Gradiente de confianza | Ídem | abr. 2026 | Skill > correo > web (invertible según el scaffold) |
| Frontera defensiva | Ídem | abr. 2026 | El imperativo activa la verificación; el declarativo la esquiva |
| Efecto del scaffold | Ídem | abr. 2026 | Mismo modelo: ASR 40,0 % → 48,6 % según el framework |