Uso de Computadora de Claude y Resistencia a Inyección de Indicaciones: El Patrón de Seguridad en Producción que Toda Implementación Necesita
Los modelos de uso de computadora ya están en producción. La resistencia a inyección de indicaciones determina si realmente puedes ejecutarlos.
Anthropic lanzó capacidades de uso de computadora para Claude el 23 de marzo de 2026 — una función que permite a la IA abrir aplicaciones de forma autónoma, navegar por navegadores, completar hojas de cálculo y ejecutar tareas de múltiples pasos en el escritorio de un usuario. Es la interfaz de agente más capaz implementada a escala. También es el patrón de implementación de mayor riesgo en la IA en producción hoy en día.
El riesgo no es teórico. La inyección indirecta de indicaciones incrusta instrucciones maliciosas en contenido externo que procesa el agente de IA, dando como resultado un shell completamente interactivo ejecutándose con los privilegios del usuario del desarrollador, con acceso a todos los secretos del entorno, desde claves API hasta credenciales de AWS y tokens de GitHub. La inyección de indicaciones se reconoce como LLM01:2025, la vulnerabilidad única más crítica en aplicaciones de IA, según la Fundación OWASP.
Si estás enviando un agente de uso de computadora a producción sin entender la resistencia a inyección de indicaciones como una propiedad de seguridad de primera clase, no estás enviando un producto. Estás enviando una vulnerabilidad de la cadena de suministro.
Qué está sucediendo realmente: dos categorías de ataque, tasas de éxito muy diferentes
La inyección indirecta de indicaciones incrusta instrucciones maliciosas en fuentes de datos externas que procesa el modelo de lenguaje — como páginas web, documentos o correos electrónicos. El modelo lee el contenido envenenado y sigue las instrucciones incrustadas. Este es el patrón de ataque que importa para el uso de computadora.
Los números son contundentes. Un único intento de inyección de indicaciones contra un agente basado en GUI tiene éxito el 17,8% de las veces sin salvaguardas. En el intento número 200, la tasa de brecha alcanza el 78,6%. Los atacantes sofisticados eluden los modelos mejor defendidos aproximadamente el 50% de las veces con solo 10 intentos.
Pero—y esto es crítico para los operadores en producción—la brecha entre modelos defendidos y sin defender es enorme. Anthropic utiliza aprendizaje por refuerzo durante el entrenamiento del modelo, exponiendo a Claude a inyecciones de indicaciones en entornos simulados y recompensando al modelo cuando identifica correctamente y rechaza instrucciones maliciosas. Este enfoque redujo las tasas de éxito de ataque para agentes de navegador de dos dígitos a aproximadamente el 1% con Opus 4.5. Las versiones más recientes mejoran aún más: Sonnet 4.6 muestra una tasa de éxito de ataque de escenario del 1,29% en inyección de indicaciones de navegador, bajando del 49,36% en Sonnet 4.5.
El patrón es claro. La resistencia a inyección de indicaciones no es una función binaria. Es una propiedad medible que construyes en la canalización de entrenamiento, pruebas cuantitativamente, e implementas como parte de la tarjeta del modelo.
Incidente real: cómo funciona esto en la práctica
En febrero de 2026, un atacante explotó la forma en que un agente de codificación procesaba instrucciones a través de un modelo de lenguaje grande y utilizó una técnica de inyección de indicaciones para instalar software en los sistemas de los usuarios. En marzo de 2026, Oasis Security demostró una canalización de ataque completo contra claude.ai — denominado "Claudy Day" — que encadenaba inyección de indicaciones invisible con exfiltración de datos para robar el historial de conversaciones de una sesión predeterminada lista para usar.
Observa lo que sucedió: sin exploit de día cero, sin desbordamiento de búfer, sin vulnerabilidad tradicional. Se inccrustaron etiquetas HTML invisibles en un parámetro de URL que completa previamente el cuadro de chat de Claude.ai. El usuario ve un indicador normal, pero cuando presiona Entrar, Claude también ejecuta las instrucciones ocultas.
En marzo de 2026, Unit 42 documentó los primeros ataques de inyección indirecta de indicaciones a gran escala observados en la práctica, señalando que los actores de amenazas están operacionalizando activamente esta clase de exploit. Esto ya no es una preocupación de investigación.
Cómo funciona realmente la resistencia en producción: entrenamiento y defensa en profundidad
El patrón de seguridad tiene tres capas:
- Entrenamiento del modelo: Anthropic utiliza aprendizaje por refuerzo durante el entrenamiento del modelo, exponiendo a Claude a inyecciones de indicaciones en entornos simulados y recompensando al modelo cuando identifica correctamente y rechaza instrucciones maliciosas. Los modelos entrenados con jerarquía de instrucciones (como GPT-4 Turbo y Claude 3+) son más resistentes a inyección directa pero permanecen vulnerables a inyección indirecta sofisticada y ataques de sufijo adversarial. El entrenamiento por sí solo no es suficiente.
- Defensas semánticas: El ajuste fino de instrucciones estructuradas convierte modelos para seguir instrucciones solo en porciones de indicación designadas, aumentando conjuntos de datos de entrenamiento con ejemplos que incluyen instrucciones en porciones de datos, y ajustando el modelo para ignorar estas. Esto crea un límite entre entrada confiable y no confiable a nivel arquitectónico.
- Validación en tiempo de ejecución: Los clasificadores de entrada en tiempo real detectan intentos de manipulación, utilizando clasificadores para identificar patrones de inyección de indicaciones antes de que el modelo los procese.
La idea clave: GPT-4 tiene el mejor desempeño general en pruebas de resiliencia, y los hallazgos destacan que la alineación fuerte y el ajuste fino de seguridad son más importantes para la resiliencia que el tamaño del modelo por sí solo.
Cuáles son las brechas aún: la evaluación honesta
Una tasa de éxito de ataque del 1% — aunque una mejora significativa — sigue representando riesgo significativo. Ningún agente de navegador es inmune a inyección de indicaciones. La inyección de indicaciones está lejos de ser un problema resuelto, particularmente cuando los modelos toman más acciones del mundo real, y los vendedores esperan continuar el progreso con el objetivo de un futuro donde los modelos de IA puedan manejar tareas de alto valor sin riesgo significativo de inyección de indicaciones.
Escala las matemáticas: Las tasas de éxito de ataque contra defensas de última generación superan el 85% cuando se emplean estrategias de ataque adaptativo. Los modelos fronterizos tienen mejor rendimiento absoluto, pero la asimetría es real — los defensores deben tener éxito el 100% de las veces; los atacantes solo necesitan ganar una vez.
| Modelo / Sistema | Tipo de Ataque | Tasa de Éxito (Sin Salvaguardas) | Tasa de Éxito (Con Salvaguardas) | Fuente |
|---|---|---|---|---|
| Claude Sonnet 4.6 | Inyección de indicaciones de navegador (Best-of-N) | 49,36% (Sonnet 4.5) | 1,29% | Tarjeta del sistema Anthropic, marzo de 2026 |
| Claude Opus 4.5 | Inyección de indicaciones de navegador | ~10–15% (anterior) | ~1% | Investigación Anthropic |
| Claude Opus 4.6 (Agente GUI) | Intento único de inyección de indicaciones | 17,8% | N/A documentado | Tarjeta del sistema Anthropic |
| Modelos mejor defendidos (general) | Inyección sofisticada de múltiples intentos | N/A | ~50% en 10 intentos | Informe Internacional de Seguridad en IA 2026 |
Qué significa esto para tu equipo: la lista de verificación de implementación
Si estás implementando modelos de uso de computadora — o planeando hacerlo — aquí está el patrón de producción:
1. Verifica la resistencia a inyección de indicaciones publicada del modelo. Comprueba la tarjeta del sistema del vendedor para las tasas de éxito de ataque reales, no lenguaje de marketing. Claude Opus 4.5 establece un nuevo estándar en robustez frente a inyecciones de indicaciones, representando una mejora importante en relación con las anteriores tanto en rendimiento central como en salvaguardas. Pero "mejora" es relativa. Comprende la línea de base.
2. Asume inyección indirecta, no directa. Tus agentes procesarán contenido externo — páginas web, archivos cargados, correos electrónicos, registros de bases de datos. Las instrucciones maliciosas incrustadas en fuentes de datos externas que procesa el modelo de lenguaje — como páginas web recuperadas por una herramienta de búsqueda, documentos en una canalización RAG, o correos electrónicos — siguen siendo la superficie de ataque primaria. La defensa aquí es más difícil porque no puedes controlar la fuente de entrada.
3. Implementa clasificación de entrada aguas arriba. Los clasificadores de entrada en tiempo real detectan intentos de manipulación antes de que el modelo los vea. Esta capa se ejecuta independientemente de la robustez interna del modelo. Un prefiltro que atrapa cargas útiles obvias de inyección de indicaciones reduce la superficie de ataque incluso si el modelo mismo es vulnerable.
4. Audita lo que el agente realmente puede hacer. Los peores ataques encadenan múltiples acciones con apariencia legítima en una brecha. Limita los permisos de herramientas sin piedad. Si tu agente no necesita enviar correos electrónicos, elimina esa capacidad. Si no necesita escribir archivos en ciertos directorios, bloquéalos. La firma de seguridad Adversa encontró que Claude Code impone reglas de denegación contra comandos riesgosos como curl, pero el código fuente contiene un límite máximo de 50 subcomandos. Si excedes ese límite, Claude Code predeterminadamente solicita permiso en lugar de bloquear. Prueba de concepto de Adversa: 50 comandos sin operación seguidos de un comando curl — Claude solicitó autorización en lugar de denegar.
5. Espera que esto evolucione. La capacidad de los modelos de lenguaje para seguir instrucciones en lenguaje natural los hace vulnerables a ataques de inyección de indicaciones donde instrucciones ocultas o maliciosas hacen que el modelo ignore su tarea prevista o produzca respuestas inseguras. Los nuevos patrones de ataque emergen regularmente. La defensa es continua, no única.
La realidad en producción
Los modelos de uso de computadora funcionan. Son genuinamente útiles. Pero tienen éxito por diseño — haciendo que los modelos sean capaces de leer pantallas y tomar acciones — que es exactamente lo que los hace vulnerables. La resistencia a inyección de indicaciones no es una casilla de cumplimiento que sería bonito tener. Es la característica que determina si el sistema es implementable en absoluto.
Los vendedores lo saben ahora. Los vendedores de IA están construyendo resistencia a inyección de indicaciones directamente en modelos a través del entrenamiento, no solo añadiendo filtros externos. Anthropic utiliza aprendizaje por refuerzo durante el entrenamiento del modelo, exponiendo a Claude a inyecciones de indicaciones en entornos simulados. Los mejores sistemas de producción combinan entrenamiento a nivel de modelo, salvaguardas arquitectónicas y filtrado en tiempo de ejecución. Ninguno de esos por sí solo es suficiente.
Si estás evaluando una implementación de uso de computadora y el vendedor no te está citando números específicos y cuantitativos de resistencia a inyección de indicaciones de su tarjeta del sistema, solicítalos. La ausencia de esos datos es su propia respuesta.