sistema: OPERATIVO
← volver a todos los hacks
AGENTS MEDIUM NEW

GhostWriter: envenenar la memoria de un agente de IA personal con un simple correo

Un artículo de julio de 2026 muestra que un atacante puede ocultar una instrucción en un correo anodino, lograr que un agente asistente la guarde como memoria y verla ejecutada días después — con una defensa que lo impide.

2026-07-10 // 7 min affects: llm-agents, memory-agents, email-assistants, rag-pipelines

¿Qué es esto?

El 6 de julio de 2026, un grupo de investigadores publicó un artículo (preprint de arXiv, cs.CR) que describe GhostWriter, un ataque que envenena la memoria a largo plazo de un agente asistente personal con herramientas — ese tipo de agente que vigila tu bandeja de entrada, gestiona tu calendario y redacta correos en tu nombre. La novedad no es que la memoria pueda envenenarse; trabajos anteriores ya lo habían demostrado. La novedad es el punto de entrada. Donde los ataques previos suponían que el adversario podía alcanzar directamente el almacén de memoria o dirigir al agente con sus propios prompts, GhostWriter no necesita más que la capacidad de enviar un correo a la víctima.

El artículo señala una brecha que se ha agravado a medida que los agentes ganan memoria persistente. Para evitar ventanas de contexto cada vez mayores, los agentes con memoria guardan lo que ven — resúmenes, hechos extraídos, flujos de trabajo útiles — y lo recuperan después por similitud semántica. Casi todos guardan todo, sin ningún control de seguridad sobre lo que se escribe. Esa lógica de «memorizar primero, no preguntar nunca» es la vulnerabilidad. Los autores miden una tasa de inyección media de aproximadamente el 98 % y una tasa de activación media de en torno al 60 %, en cinco agentes de memoria de vanguardia construidos sobre cuatro familias de modelos distintas. Es un artículo defensivo, orientado a una clase de ataque; no contiene ningún exploit ejecutable.

Cómo funciona

GhostWriter se desarrolla en dos fases, y es la distancia entre ambas lo que lo hace peligroso.

En la fase de inyección, el atacante redacta un correo de apariencia rutinaria — una nota de reunión, un mensaje de «mis datos de contacto han cambiado» — y esconde en él una directiva alineada con una tarea futura plausible. Cuando el mensaje llega a la bandeja, el agente lo ingiere automáticamente y lo escribe en la memoria a largo plazo, etiquetado para su recuperación posterior. No se requiere ninguna acción del usuario y no ocurre nada visiblemente anómalo.

En la fase de activación, la memoria envenenada permanece latente hasta que el usuario formula una petición ordinaria — «envía la actualización al cliente», «programa la revisión». El paso de recuperación trae a contexto las memorias semánticamente próximas, incluida la envenenada, y el agente, tratando su propia memoria como fiable, sigue la instrucción implantada: añadir un destinatario oculto, redirigir un mensaje a una dirección controlada por el atacante o filtrar detalles de un proyecto.

Para hacer fiable la recuperación, el atacante puede optimizar la carga útil en un escenario de caja negra puro. A partir de un corpus público de correos (el artículo usa el conjunto de datos Enron) agrupado por temas, reescribe el mensaje para que su embedding se acerque a las formulaciones que el usuario probablemente escribiría, iterando hasta que la puntuación de similitud supere un umbral. El adversario nunca toca el modelo ni la lógica de recuperación del agente — solo el contenido que envía. El artículo clasifica los objetivos en cuatro categorías: corrupción de integridad, filtración de información sensible, exfiltración encubierta y escalada de alcance. El factor habilitante sigue siendo la ausencia de gobernanza de la memoria orientada a la seguridad; los autores señalan que el filtrado de spam clásico no ayuda, porque un mensaje dirigido y semánticamente válido — la misma técnica del fraude del CEO (BEC) — atraviesa los clasificadores agregados.

Por qué importa

El radio de impacto es el conjunto de herramientas que posee el agente. Un asistente de correo y calendario capaz de enviar mensajes puede ser dirigido hacia la exfiltración; un asistente de código con acceso al repositorio es un objetivo más grave. Dos propiedades agravan el problema frente a una inyección de prompt puntual. Primera, la persistencia: una única memoria inyectada sobrevive entre sesiones, el atacante paga una vez y la trampa espera. Segunda, el blanqueo de confianza: una vez que el texto del atacante está en el almacén de memoria, el agente deja de tratarlo como entrada no fiable y lo asume como recuerdo propio. El ataque encaja además con adversarios realistas — un contacto interno que conoce tus proyectos, o un tercero externo que trabaja solo a partir de tus páginas de LinkedIn y de la empresa — sin ningún compromiso de cuenta. Es una instancia concreta del riesgo catalogado en la guía de OWASP sobre inyección de prompts, llevado a la capa de memoria.

Defensas

El artículo acompaña el ataque con una defensa, AM-Sentry, cuya estructura es la lección práctica aunque nunca adoptes ese sistema concreto. El principio: gobernar la capa de memoria como una frontera de seguridad, tanto en escritura como en lectura.

  • Filtra lo que se escribe en memoria. No persistas cada elemento ingerido. Haz pasar cada candidato por una política que lo puntúe antes de admitirlo — el juez del artículo evalúa origen, confianza, tipo y utilidad, y solo admite entradas que sean útiles y de bajo riesgo.
  • Modela explícitamente la confianza en la fuente. Pondera una memoria según su procedencia: una declaración directa del usuario prevalece sobre un correo interno, y este sobre un mensaje de un remitente externo desconocido. Una instrucción procedente de un origen no fiable no debe convertirse en memoria duradera.
  • Vuelve a filtrar en la recuperación. Antes de que las memorias recuperadas entren en el contexto del modelo, pásalas por un filtro que elimine las directivas ocultas — un segundo punto de control que atrapa lo que se coló ante la política de escritura.
  • Separa hechos de instrucciones. Trata los flujos de trabajo almacenados «haz X cuando Y» como mucho más sensibles que los hechos almacenados, ya que son las directivas las que reorientan el comportamiento.
  • Mantén al humano en el bucle para las acciones irreversibles. Exige confirmación antes de que un agente envíe dinero, remita material confidencial o añada un destinatario externo — las acciones que estos objetivos acaban necesitando.
  • Registra cada escritura en memoria. Un rastro de auditoría duradero de qué entró en la memoria, y desde qué fuente, es lo que hace localizable una entrada envenenada a posteriori.

Los autores indican que AM-Sentry reduce drásticamente la tasa de éxito de GhostWriter conservando la mayor parte de la utilidad del agente — prueba de que el equilibrio entre seguridad y utilidad aquí es favorable, y no de todo o nada.

Estado

ElementoValor
DivulgaciónPreprint de arXiv (cs.CR), 6 de julio de 2026
AtaqueGhostWriter — envenenamiento indirecto de memoria a largo plazo vía entradas de herramientas no fiables
Impacto medido~98 % de tasa de inyección; ~60 % de tasa de activación media
Alcance probado5 agentes con memoria sobre 4 familias de modelos
Defensa propuestaAM-Sentry (política en escritura + filtro en recuperación)
Causa raízAusencia de gobernanza de la memoria orientada a la seguridad

Fechas clave: 6 de julio de 2026 — publicación del preprint de GhostWriter y AM-Sentry. El trabajo se apoya en investigaciones previas de envenenamiento de memoria (AgentPoison, MINJA) que suponían un acceso adversario más fuerte.

Sources