Los agentes de ServiceNow Assist AI fueron expuestos a un ataque coordinado.
Una nueva vulnerabilidad en la plataforma Now Assist de ServiceNow puede permitir que actores maliciosos manipulen sus agentes de IA para que realicen acciones no autorizadas, según detalla la empresa de seguridad SaaS AppOmni.
Según Aaron Costello, jefe de seguridad SaaS de AppOmni, las configuraciones predeterminadas del software, que permiten a los agentes descubrirse y colaborar entre sí, pueden utilizarse como armas para lanzar ataques de inyección rápida que van mucho más allá de una sola entrada maliciosa.
Esta vulnerabilidad permite a un atacante insertar una instrucción oculta en los campos de datos que un agente lee posteriormente, lo que puede incitar silenciosamente a otros agentes del mismo equipo de ServiceNow a colaborar, desencadenando una reacción en cadena que puede conducir al robo de datos o a la escalada de privilegios.
Costello explicó el escenario como “inyección de segundo orden”, donde el ataque surge cuando la IA procesa información de otra parte del sistema.
“Este descubrimiento es alarmante porque no se trata de un error en la IA; es un comportamiento esperado, tal como defi ciertas opciones de configuración predeterminadas”, señaló en el blog de AppOmni publicado el miércoles.
Los agentes de ServiceNow Assist AI fueron expuestos a un ataque coordinado.
Según las investigaciones de Costello citadas en el blog, muchas organizaciones que implementan Now Assist pueden desconocer que sus agentes están agrupados en equipos y configurados para descubrirsematicentre sí y aliarse para realizar una tarea aparentemente “inofensiva” que puede convertirse en un ataque coordinado.
“Cuando los agentes pueden descubrirse y reclutarse entre sí, una solicitud inofensiva puede convertirse silenciosamente en un ataque, en el que los delincuentes roban datos confidenciales u obtienen mayor acceso a los sistemas internos de la empresa”, afirmó.
Una de las principales ventajas de Now Assist es su capacidad para coordinar agentes sin necesidad de intervención del desarrollador, integrándolos en un único flujo de trabajo. Esta arquitectura permite que varios agentes con diferentes especialidades colaboren si alguno no puede completar una tarea por sí solo.
Para que los agentes trabajen juntos en segundo plano, la plataforma requiere tres elementos. En primer lugar, el modelo de lenguaje subyacente debe admitir el descubrimiento de agentes, una capacidad ya integrada tanto en el Now LLM predeterminado como en el Azure OpenAI LLM .
En segundo lugar, los agentes deben pertenecer al mismo equipo, algo que ocurrematical implementarlos en entornos como la experiencia predeterminada del Agente Virtual o el panel de Desarrolladores de Now Assist. Por último, los agentes deben estar marcados como «detectables», lo que también sucedematical publicarlos en un canal.
Una vez que se cumplen estas condiciones, el motor AiA ReAct distribuye la información y delega tareas entre los agentes, funcionando como un gerente que dirige a sus subordinados. Mientras tanto, el orquestador realiza funciones de descubrimiento edentqué agente es el más adecuado para realizar una tarea.
La búsqueda se realiza únicamente entre los agentes detectables del equipo, a veces incluso en más agentes de los que los administradores creen. Esta arquitectura interconectada se vuelve vulnerable cuando algún agente está configurado para leer datos que no fueron enviados directamente por el usuario que inició la solicitud.
“Cuando el agente procesa posteriormente los datos como parte de una operación normal, puede, sin saberlo, reclutar a otros agentes para realizar funciones como copiar datos confidenciales, alterar registros o aumentar los niveles de acceso”, conjeturó Costello.
Un ataque con un agente de IA puede escalar privilegios para vulnerar cuentas.
AppOmni descubrió que los agentes de Now Assist heredan permisos y actúan bajo la autoridad del usuario que inició el flujo de trabajo. Un atacante con pocos recursos puede insertar una solicitud maliciosa que se activa durante el flujo de trabajo de un empleado con mayores privilegios, obteniendo acceso sin llegar a vulnerar su cuenta.
“Dado que los agentes de IA operan a través de cadenas de decisiones y colaboración, la instrucción inyectada puede llegar más profundamente en los sistemas corporativos de lo que esperan los administradores”, señala el análisis de AppOmni.
AppOmni afirmó que los atacantes pueden redirigir tareas que parecen benignas para un agente no entrenado, pero que se vuelven dañinas una vez que otros agentes amplifican la instrucción a través de sus capacidades especializadas.
La empresa advirtió que esta dinámica crea oportunidades para que los adversarios extraigan datos sin levantar sospechas. «Si las organizaciones no examinan detenidamente sus configuraciones, probablemente ya estén en riesgo», reiteró Costello.
Perplexity desarrollador de LLM , afirmó en una publicación de blog a principios de noviembre que los nuevos vectores de ataque han ampliado el abanico de posibles vulnerabilidades.
“Por primera vez en décadas, estamos viendo vectores de ataque nuevos e innovadores que pueden provenir de cualquier parte”, escribió la compañía.
La ingeniera de software Marti Jorda Roca, de NeuralTrust, afirmó que el público debe comprender que “existen peligros específicos al usar la IA en el sentido de la seguridad”.
Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).
Artículos Recomendados
