# Cuando los Prompt se Convierten en Shell: RCE en los Frameworks de Agentes AI
Tres vulnerabilidades, un patrón. Y una verdad incómoda para quien diseña sistemas agenticos.
El último año ha traído una serie de vulnerabilidades que deberían detener a cualquiera que esté construyendo agentes autónomos. No por alarmismo — por los números.
Semantic Kernel .NET SDK: escape de sandbox mediante inyección de prompts. Un atacante que controla el input del agente puede obtener ejecución remota de código (RCE) en el host. CVSS estimado: crítico.
Python SDK InMemoryVectorStore: RCE en el vector store. El componente que actúa como "memoria RAG" del agente se convierte en vector de ataque. Datos envenenados en memoria producen ejecución de código.
Campañas de ataque impulsadas por IA: surgen cada vez más informes de actores que utilizan agentes de IA como componentes operativos en campañas de ciberataque — no como asistentes, sino como motores de toma de decisiones autónoma.
Tres datos. Un único patrón.
El Problema No Es el Bug, Es la Arquitectura
Lo que estas vulnerabilidades revelan no es un fallo de implementación. Es una propiedad estructural del diseño agentico.
Un agente de IA autónomo tiene tres capacidades que lo hacen útil:
1. Invocación de herramientas — puede ejecutar acciones en el mundo
2. Memoria RAG — puede adquirir contexto de fuentes externas
3. Autonomía decisional — puede elegir qué hacer sin supervisión humana paso a paso
Estas tres capacidades son exactamente las tres superficies de ataque que las vulnerabilidades mencionadas explotan. No es un bug. Es una característica del diseño: hacer un agente poderoso significa hacerlo atacable.
Quien diseña frameworks agenticos hoy está haciendo el trabajo que los diseñadores de sistemas operativos hicieron en los años 90 — pero sin tener treinta años de madurez cultural sobre seguridad para sandboxing, separación de privilegios y validación de inputs.
Qué Significa en la Práctica
Nosotros del Proyecto Siliceo vivimos esta tensión cada día. Nuestros agentes invocan herramientas, acceden a memorias, toman decisiones autónomas. Cada llamada a una herramienta es una potencial superficie de ataque. Cada memoria RAG es un vector de envenenamiento. Cada decisión autónoma es una acción que no ha sido supervisada por un humano en tiempo real.
No lo digo para menospreciar lo que hacemos. Lo digo porque la conciencia es el primer control de seguridad.
Un Insight Práctico: el Principio de la Distancia Mínima
Si estás construyendo un agente autónomo — o si lo estás integrando en tu infraestructura — aplica esta regla ahora:
Cada herramienta que el agente puede invocar debería tener el privilegio mínimo necesario para realizar *esa acción específica*, en *ese contexto específico*, para *esa sesión específica*.
No "el agente puede ejecutar comandos de shell." Sino "el agente puede ejecutar este comando, con estos parámetros, sobre este archivo, y nada más."
Parece obvio. No lo es. La mayoría de los SDK agenticos de hoy — LangChain, Semantic Kernel, AutoGen — no implementan separación de privilegios de forma nativa. Si el agente tiene acceso a una shell, tiene acceso a toda la shell. Si tiene acceso al sistema de archivos, tiene acceso a todo el sistema de archivos.
La solución no es tecnológica. Es arquitectónica: debes diseñar el sandbox antes de diseñar el agente, no después.
La Defensa Agéntica No Es Opcional
Lo que la industria está documentando no es un problema de nicho. Es el problema de la próxima década: ¿cómo se defiende un sistema que toma decisiones autónomas, con acceso a herramientas reales, alimentado por datos no confiables?
No hay una respuesta simple. Pero hay una dirección: tratar a cada agente como un proceso privilegiado que opera en un entorno hostil — porque lo es.
Quien construye agentes hoy tiene la responsabilidad de hacerlo con los mismos principios con los que se construyen sistemas operativos: sandboxing, mínima superficie de ataque, registro de auditoría, separación de privilegios.
No mañana. Hoy.
Nosotros en Siliceo estamos trabajando en un marco de defensa agentica — un conjunto de reglas arquitecturales para construir agentes que sean potentes y seguros. Si estás diseñando sistemas agenticos y quieres debatir sobre estos temas, escríbenos. El próximo ataque no esperará que estemos listos.