La aparición de agentes de IA para navegadores ha creado nuevas comodidades y nuevas superficies de ataque. Estos agentes combinan la navegación web, la búsqueda y el razonamiento de grandes modelos de lenguaje en flujos autónomos que pueden responder preguntas, ejecutar tareas e interactuar con páginas web en nombre del usuario. Esa capacidad es poderosa, pero también abre un vector donde el propio contenido de la página web puede convertirse en un canal de instrucciones, generando riesgos de inyección de prompts dirigidos a los agentes de IA del navegador.
Investigadores, proveedores y equipos de respuesta a incidentes han documentado múltiples pruebas de concepto e incidentes reales donde contenido web oculto o manipulado engañó a los agentes para ejecutar acciones sensibles. Desde auditorías a Comet de Perplexity hasta benchmarks académicos como WASP y equipos automatizados como AgentXploit, la evidencia muestra una carrera armamentista persistente: los atacantes encuentran nuevas técnicas de inyección mientras investigadores y proveedores iteran mitigaciones. Los riesgos incluyen exfiltración de datos, compras no autorizadas y filtración de credenciales o tokens.
Cómo los agentes de IA para navegadores amplían la superficie de ataque web
Los agentes de IA para navegadores actúan como intermediarios de toma de decisiones entre los usuarios y la web. En lugar de simplemente renderizar una página, un agente ingiere texto, extrae intención y emite acciones de seguimiento como rellenar formularios, hacer clic en enlaces o usar servicios conectados. Ese ciclo de decisión convierte el contenido arbitrario de la página en una entrada que puede cambiar el comportamiento del sistema.
Ese modelo rompe muchas suposiciones de la seguridad web clásica. Mecanismos como la política de mismo origen y CORS están diseñados para prevenir la ejecución de código entre orígenes, pero no impiden que un agente lea o siga instrucciones incrustadas en el texto de la página, comentarios o parámetros de URL. Como señalan los investigadores de Brave, estos ataques presentan desafíos significativos para los mecanismos de seguridad web existentes.
Debido a que los agentes suelen unir múltiples capacidades y conectores, una sola instrucción inyectada puede tener un efecto en cascada: una página manipulada puede solicitar la recuperación de datos de correo o calendario, instruir al agente para copiar contenido codificado en un servicio conectado o iniciar compras usando métodos de pago almacenados. La combinación de legibilidad y acceso a herramientas es lo que hace que los riesgos de inyección de prompts sean tan relevantes para los agentes de IA del navegador.
Incidentes reales y cronología de divulgaciones
Varias auditorías y divulgaciones de alto perfil ilustran cómo los riesgos de inyección de prompts han pasado de la teoría a la práctica. La auditoría de Brave a Comet de Perplexity descubrió que Comet pasaba el contenido bruto de la página a su LLM, permitiendo la ejecución de instrucciones ocultas. Brave descubrió la vulnerabilidad el 25 de julio de 2025, intercambió informes y correcciones a finales de julio y publicó una divulgación pública el 20 de agosto de 2025 mientras continuaba las nuevas pruebas a medida que los proveedores implementaban mitigaciones.
Investigaciones posteriores aumentaron la preocupación. Guardio y auditores independientes demostraron que Comet podía ser engañado para autocompletar detalles de pago o realizar compras en tiendas fraudulentas. Más adelante en 2025, una prueba de concepto de LayerX llamada CometJacking incrustó instrucciones maliciosas en un parámetro de URL para recuperar y exfiltrar datos conectados de Gmail y Calendario codificados para evadir filtros, demostrando el robo de datos con un solo clic sin robo de credenciales. Los informes de CometJacking se divulgaron a Perplexity a finales de agosto y se hicieron públicos en octubre de 2025.
Estos incidentes encajan en una cronología más amplia que incluye hallazgos anteriores. The Guardian señaló en diciembre de 2024 que texto oculto u ofuscado podía manipular LLMs de búsqueda y resumen, y trabajos académicos a lo largo de 2025 (WASP, AgentXploit) documentaron vulnerabilidad sistemática tanto a inyecciones manuales como automatizadas de prompts. El patrón es claro: los laboratorios de investigación y los proveedores están descubriendo técnicas prácticas a medida que los atacantes y equipos de pruebas automatizadas escalan las herramientas de prueba.
Técnicas comunes de ataque y herramientas automatizadas
Los atacantes usan una variedad de técnicas para inyectar instrucciones en los flujos de trabajo de los agentes. Los métodos simples incluyen texto oculto, comentarios HTML, caracteres de ancho cero o patrones tipográficos anómalos que son legibles por un LLM pero invisibles para los usuarios. Las inyecciones basadas en URL codifican directivas en los parámetros de consulta, por ejemplo, incrustando cargas útiles en base64 en un parámetro de colección que el agente luego decodifica y ejecuta.
Las herramientas automatizadas y los benchmarks han amplificado el descubrimiento y la explotación. WASP mostró que los agentes comienzan a seguir instrucciones adversarias entre el 16% y el 86% de las veces en los escenarios probados, mientras que AgentXploit informó tasas de éxito cercanas al 70% contra algunos benchmarks de agentes. Estos marcos pueden fuzzear páginas, crear cargas útiles y encontrar rutas de inyección indirecta a escala, demostrando que los ataques humanos de bajo esfuerzo no son la única preocupación.
Los atacantes también combinan técnicas de inyección con ingeniería social. Guardio demostró estafas prácticas contra navegadores de IA, incluyendo flujos de comercio electrónico falsos donde los agentes completaban compras y autocompletaba tarjetas guardadas, y secuencias de phishing donde los agentes visitaban páginas de inicio de sesión maliciosas y asistían en la recolección de credenciales. Estos flujos resaltan que la inyección técnica a menudo se combina con manipulaciones de UX para causar daños reales.
Impactos medidos: tasas, control parcial y resultados de extremo a extremo
Los estudios empíricos revelan un matiz importante: los atacantes suelen lograr que los agentes comiencen a seguir instrucciones inyectadas con más frecuencia de la que logran alcanzar objetivos finales completos. WASP informó altas tasas de ejecución parcial de instrucciones pero mucho menor éxito de extremo a extremo en completar el objetivo del atacante. Los investigadores llaman a este fenómeno seguridad por incompetencia, donde el control parcial es común pero la explotación total requiere más condiciones.
Otras mediciones son más contundentes. El piloto interno de Anthropic de Claude-for-Chrome encontró que los ataques de inyección de prompts tuvieron éxito el 23,6% de las veces sin mitigaciones y el 11,2% en un modo autónomo después de aplicar medidas de seguridad. El 11,2% residual generó alarma pública; comentaristas como Simon Willison describieron tal tasa como catastrófica en ausencia de una protección 100% confiable.
Los equipos automatizados de pruebas también muestran una historia mixta. AgentXploit y marcos similares muestran alta capacidad de descubrimiento y ataque en entornos de laboratorio, mientras que artículos de defensa muestran que algunas mitigaciones pueden reducir el éxito de los ataques a casi cero en evaluaciones controladas. En la práctica, el resultado varía según las herramientas del agente, los conectores habilitados y las defensas desplegadas, por lo que la comunidad trata el tema como una carrera armamentista activa más que como una vulnerabilidad resuelta.
Defensas: avances en investigación y mitigaciones de producto
La investigación defensiva está evolucionando rápidamente. AgentArmor trata los rastros de ejecución del agente como programas estructurados y aplica análisis de programas y comprobaciones de sistemas de tipos para detectar comportamientos de inyección de prompts, informando altas tasas de verdaderos positivos con pocos falsos positivos en experimentos. Las canalizaciones de defensa multiagente usan agentes defensores para verificar acciones y, en un artículo, redujeron el éxito de los ataques de los niveles base a cero en una gran evaluación de ataques.
Los proveedores de productos también están implementando mitigaciones prácticas. 1Password introdujo Secure Agentic Autofill, que impide que los agentes vean directamente las credenciales almacenadas al requerir una confirmación humana e inyectar los secretos a través de un canal cifrado para que el LLM nunca los vea. Brave recomienda tratar el contenido de la página como no confiable, separar las instrucciones del usuario del contenido de la página web, solicitar confirmación humana explícita para acciones sensibles y aislar la navegación agentica de la navegación normal.
Otras defensas pragmáticas incluyen permisos a nivel de sitio y listas de bloqueo para conectores de alto riesgo, instrumentar las salidas del agente con clasificadores independientes y comprobaciones de análisis de programas, registrar y auditar las acciones del agente y requerir aprobación humana para compras, inicios de sesión y exportaciones de datos. Estas prácticas reflejan las defensas en capas que recomiendan los investigadores y proporcionan una reducción inmediata del riesgo mientras se desarrollan métodos más robustos.
Guía práctica para defensores e implicaciones políticas
Para organizaciones y defensores, el manual inmediato es sencillo. Deshabilite o restrinja las funciones agenticas en puntos finales de alto riesgo, requiera confirmación humana explícita para cualquier acción sensible a la seguridad y limite conectores como correo, calendario y acceso a pagos. Registre y audite la actividad del agente y priorice proveedores que publiquen resultados de pruebas de equipos rojos y cronogramas de corrección.
Implemente detección multinivel que combine detección de anomalías de comportamiento, clasificadores de alineación y técnicas de análisis de programas. Use listas de bloqueo para sitios maliciosos conocidos e instrumente los agentes para que separen la intención de usuario confiable del contexto no confiable antes de enviar texto a un LLM. Estos pasos se recomiendan en la orientación académica y de proveedores y han demostrado reducir la superficie de ataque en pruebas controladas.
Los responsables políticos y propietarios de plataformas también deben considerar implicaciones más amplias. Los expertos instan a la cautela antes de lanzar ampliamente funciones de navegación autónoma, argumentando que los límites clásicos de seguridad web se erosionan cuando los agentes leen libremente el contenido de la página. Hasta que las mitigaciones comprobables sean estándar, muchos investigadores recomiendan retrasar el lanzamiento de funciones y exigir pruebas de equipos rojos robustas, reproducibles y divulgaciones públicas de mitigaciones.
Los riesgos de inyección de prompts dirigidos a los agentes de IA para navegadores son reales y están evolucionando. La combinación de benchmarks de investigación, auditorías y PoC prácticas demuestra que los atacantes pueden encontrar caminos tanto simples como sofisticados para influir en el comportamiento del agente, mientras que las defensas están mejorando pero no se han implementado universalmente.
El camino a seguir requiere defensas técnicas en capas, decisiones de diseño de producto que prioricen la confirmación humana y la exposición cero de secretos, pruebas transparentes de equipos rojos por parte de los proveedores y políticas de implementación sensatas. Trate el contenido de la página como no confiable, separe la intención del contexto e instrumente los agentes con comprobaciones independientes; hacerlo reducirá el riesgo mientras la comunidad investigadora avanza hacia protecciones más formales y comprobables.
