Asegurar IA agéntica hoy implica lidiar con guardrails sensibles a la latencia, modelos de amenazas desactualizados y herramientas fragmentadas—sin un estándar unificado a la vista. Este post desempaca los dos artefactos clave del paper A2AS: el modelo mental BASIC (Boundary, Authentication, Secrecy, Integrity, Consent) y el framework open-source A2AS en Python con su sistema de markup de políticas. Vas a ver cómo cada uno se mapea a clases de ataque reales (usuario→agente, agente→herramienta, agente→agente), limitaciones honestas, y si es lo suficientemente práctico como para adoptarlo en tu propio stack.
Hoy quiero compartirles una reflexión sobre un paper académico recién publicado que, honestamente, me sorprendió por su enfoque práctico y su potencial para simplificar la seguridad en aplicaciones de IA agéntica.
Si trabajás en AI Security, seguro te vas a sentir identificado con los desafíos que menciono acá.
En el mundo de la seguridad para aplicaciones GenAI, lidiamos con:
Aumento de latencia por controles y validaciones, lo que puede afectar la experiencia del usuario y la eficiencia operativa
Guardrails que se quedan viejos frente a nuevas amenazas, ya que los vectores de ataque evolucionan constantemente y los controles deben actualizarse de forma continua
Dependencia de librerías de terceros (¡y sus bugs!), lo que introduce riesgos de vulnerabilidades externas y problemas de compatibilidad
Ecosistemas complejos y difíciles de mantener, donde cada integración puede ser un punto de falla o de exposición
Soluciones de seguridad hiper-específicas para cada unidad de negocio o aplicación, lo que dificulta la estandarización y la escalabilidad de los controles
Esto hace que la seguridad sea siempre un rompecabezas, costoso y difícil de escalar. Además, la falta de protocolos universales para la comunicación segura entre agentes de IA genera brechas que pueden ser explotadas por atacantes sofisticados.12
Hace unas horas salió este paper (todavía no está en arXiv, pero lo podés encontrar en los comentarios del post original).
El equipo de investigación propone dos cosas:
Un modelo de seguridad llamado BASIC
Un framework open source: A2AS
¿Por qué es relevante?
Por primera vez, veo una propuesta que busca ser el "HTTPS" de la seguridad en sistemas de IA agéntica. Es decir, un estándar simple, modular y fácil de implementar, que no depende de la aplicación ni del negocio, sino que protege la comunicación y la integridad de los agentes y sus herramientas.
El framework A2AS está diseñado para ser interoperable entre diferentes plataformas y vendors, permitiendo que agentes de IA colaboren y se comuniquen de forma segura, incluso en entornos empresariales complejos.345
BASIC es un acrónimo que resume los cinco pilares de seguridad para sistemas agénticos:
Boundary: Control de los límites de entrada y salida de los agentes. Esto incluye la definición explícita de qué acciones puede realizar un agente y qué recursos puede acceder, usando certificados de comportamiento y wrappers que validan los inputs y outputs antes de interactuar con el mundo real
Authentication: Verificación de identidad entre agentes y herramientas. Se utilizan mecanismos avanzados como JWT, OAuth 2.0, OpenID Connect y claves RSA para asegurar que sólo agentes autorizados puedan comunicarse y ejecutar tareas651
Secrecy: Protección de la información sensible mediante cifrado de datos en tránsito y en reposo, asegurando que la confidencialidad se mantenga incluso si la comunicación es interceptada
Integrity: Garantía de que los datos no fueron alterados durante la transmisión, usando firmas digitales y validaciones criptográficas para detectar cualquier manipulación o corrupción de la información
Consent: Control de permisos y acciones autorizadas, implementando modelos de acceso basados en roles y políticas que definen qué puede hacer cada agente en cada contexto
Cada pilar tiene controles y ejemplos de implementación. Por ejemplo:
Para "Boundary", proponen wrappers que validan y filtran los inputs/outputs de los agentes antes de que interactúen con el mundo real
Para "Authentication", se recomienda el uso de autenticación mutua y gestión dinámica de credenciales, con validación contextual y scoring probabilístico de identidad1
A2AS es un conjunto de módulos Python que implementan controles para cada pilar de BASIC.
Algunos módulos destacados:
a2as.boundary: Define y aplica límites a las acciones de los agentes, restringiendo el acceso a recursos y funciones según certificados de comportamiento
a2as.integrity: Verifica que los datos no hayan sido modificados, usando hashes y firmas digitales para asegurar la integridad de la información
a2as.secrecy: Maneja el cifrado y la protección de datos sensibles, implementando algoritmos de cifrado avanzados y gestión segura de claves
a2as.auth: Autenticación y autorización entre agentes y herramientas, soportando múltiples esquemas de autenticación y control de acceso basado en roles
El framework también incluye módulos para:
Logging y telemetría
Validación de políticas
Testing automatizado de comportamientos
Esto facilita la integración en pipelines de desarrollo y despliegue de IA.4
User-to-Agent
Un usuario malicioso intenta manipular el agente con prompts diseñados para saltarse controles, por ejemplo, inyectando instrucciones ocultas o explotando debilidades en el procesamiento de lenguaje natural.
Agent-to-Tool
Un agente intenta explotar vulnerabilidades en una herramienta externa, como APIs mal configuradas o dependencias inseguras, para obtener acceso no autorizado o modificar datos críticos.
Agent-to-Agent
Un agente comprometido intenta atacar a otros agentes en el sistema, ya sea mediante la suplantación de identidad, la manipulación de mensajes o la explotación de canales de comunicación inseguros.
A2AS provee controles para mitigar estos vectores de ataque de forma centralizada y reusable.
Además, incluye mecanismos de:
Rate limiting
Detección de anomalías
Aislamiento automático de agentes sospechosos
Esto permite responder rápidamente ante incidentes de seguridad.261
El framework todavía está en desarrollo, pero ya tiene módulos funcionales y una comunidad activa.
Limitaciones actuales:
Integración limitada: Falta integración nativa con algunos frameworks de orquestación de agentes, aunque se están desarrollando adaptadores y plugins para facilitar la interoperabilidad
Configuración manual: Algunos controles requieren configuración manual y ajuste fino según el contexto de cada aplicación, lo que puede aumentar la complejidad inicial de adopción
Cobertura parcial: No cubre todos los posibles vectores de ataque (pero sí los más críticos), y el equipo está trabajando en ampliar la cobertura y mejorar la adaptabilidad de los controles
Rendimiento: El rendimiento puede verse afectado en escenarios de alta concurrencia, por lo que se recomienda realizar pruebas de escalabilidad antes de implementar en producción
Roadmap futuro:
Integración con sistemas de monitoreo
Soporte para nuevos algoritmos de cifrado
Creación de una suite de pruebas automatizadas para validar la seguridad de agentes en diferentes entornos4
Lo que más me entusiasma de A2AS es que, por fin, tenemos una base común para construir seguridad en sistemas de IA agéntica, sin tener que reinventar la rueda para cada proyecto.
El modelo BASIC es fácil de entender y el framework A2AS es lo suficientemente flexible para adaptarse a distintos escenarios. Además, la comunidad detrás de A2AS está abierta a colaboraciones y contribuciones, lo que acelera la evolución del estándar y su adopción en la industria.
¿Es la solución definitiva? No, pero es un paso enorme hacia la estandarización y simplificación de la seguridad en GenAI.
Si te interesa proteger tus sistemas de IA y participar en la construcción de un ecosistema más seguro, te recomiendo explorar el framework y sumarte a la discusión.
Te interesa probarlo o sumarte a la discusión de que tan útil es realmente esto? Escribime por linkedin, email o directamente en youtube y seguimos la charla! Un abrazo y gracias por llegar hasta acá!
789
