Los agentes de IA como OpenClaw se han popularizado recientemente porque pueden tomar las riendas de tu vida digital. Tanto si quieres un resumen personalizado de las noticias de la mañana, un proxy que pueda pelearse con el servicio de atención al cliente de tu compañía de celular o un auditor de listas de tareas que haga algunas por ti y te incite a resolver el resto, los asistentes agénticos están construidos para acceder a tus cuentas digitales y ejecutar tus órdenes. Esto es útil, pero también ha provocado mucho caos. Los bots borran en masa los correos electrónicos que se les ordena conservar, escriben artículos de opinión sobre desaires percibidos y lanzan ataques de phishing contra sus propietarios.
Tras observar el caos de las últimas semanas, Niels Provos, veterano ingeniero de seguridad e investigador, decidió probar algo nuevo. Hoy lanza IronCurtain, un agente de IA seguro y de código abierto, diseñado para añadir una capa de control crucial. En lugar de que el agente interactúe directamente con los sistemas y cuentas del usuario, se ejecuta en una máquina virtual aislada. Su capacidad para realizar cualquier acción está mediada por una política, incluso podría considerarse una constitución, que el propietario redacta para gobernar el sistema. Fundamentalmente, IronCurtain también está diseñado para recibir estas políticas generales en un lenguaje sencillo y luego las ejecuta mediante un proceso de varios pasos que utiliza un gran modelo de lenguaje (LLM) para convertir el lenguaje natural en una política de seguridad ejecutable.
“Servicios como OpenClaw están ahora en su punto álgido, pero mi esperanza es que haya una oportunidad para decir: ‘Bueno, probablemente no es así como queremos hacerlo’. En lugar de eso, vamos a desarrollar algo que siga ofreciéndote una utilidad muy alta, pero que no vaya a adentrarse por estos caminos completamente inexplorados, a veces destructivos”, explica Provos.
Cómo funciona IronCurtain
La capacidad de IronCurtain de tomar declaraciones intuitivas y directas y convertirlas en líneas rojas ejecutables, deterministas, o predecibles, es vital, afirma Provos, porque los LLM son famosos por ser probabilísticos. En otras palabras, no siempre generan el mismo contenido ni dan la misma información en respuesta a la misma pregunta. Esto supone un reto para las barreras de seguridad de la IA, ya que los sistemas de IA pueden evolucionar con el tiempo y modificar su interpretación de un mecanismo de control o restricción, lo que puede dar lugar a una actividad no autorizada.
Una política IronCurtain, refiere Provos, podría ser tan simple como: “El agente puede leer todo mi correo electrónico. Puede enviar correos a personas de mis contactos sin preguntar. Para cualquier otro, debe preguntarme primero. Nunca borrar nada permanentemente”.
IronCurtain toma estas instrucciones, las convierte en una política aplicable y, a continuación, media entre el agente en la máquina virtual y lo que se conoce como servidor de protocolo de contexto de modelo, que da a los LLM acceso a datos y otros servicios digitales para realizar tareas. La capacidad de restringir un agente de esta forma añade un componente importante de control de acceso que las plataformas web, como los proveedores de correo electrónico, no ofrecen actualmente porque no se crearon para el escenario en el que tanto un propietario humano como los bots agentes de IA utilizan una misma cuenta.
Provos señala que IronCurtain está diseñado para perfeccionar y mejorar la “constitución” de cada usuario con el tiempo, a medida que el sistema se encuentra con casos límite y solicita la opinión humana sobre cómo proceder. El sistema, que es independiente del modelo y puede utilizarse con cualquier LLM, también está diseñado para mantener un registro de auditoría de todas las decisiones políticas a lo largo del tiempo.
Los expertos en seguridad piden cautela a la gente con la herramienta de IA viral, conocida por ser muy capaz pero también extremadamente impredecible.
IronCurtain es un prototipo de investigación, no un producto de consumo
Provos espera que la gente contribuya al proyecto para explorarlo y ayudarlo a evolucionar. Dino Dai Zovi, un conocido investigador en ciberseguridad que ha estado experimentando con las primeras versiones de IronCurtain, afirma que el enfoque conceptual que adopta el proyecto coincide con su propia intuición sobre cómo debe limitarse la IA agéntica.
“Lo que muchos agentes han hecho hasta ahora es añadir sistemas de permisos que, básicamente, ponen toda la carga sobre el usuario para que diga ‘sí, permite esto'”, afirma Dai Zovi. Añade: “La mayoría de los usuarios van a empezar a desentenderse y al final se limitarán a decir que sí. Y luego, al cabo de un tiempo, es posible que se salten todos los permisos y se limiten a conceder plena autonomía. Con algo como IronCurtain, las capacidades, como borrar archivos, pueden estar fuera del alcance del LLM, donde el agente no puede hacer nada pase lo que pase”.
