Los investigadores han diseñado una nueva versión de la técnica de ingeniería social de ClickFix utilizando inyección rápida para trucos de IA agente para realizar una variedad de acciones maliciosas. Guardio denominado este «PromptFix»: una variación en los ataques de clickFix que usan un error falso o un mensaje de verificación para manipular a las víctimas para que copien y peguen un guión malicioso y luego lo ejecute. Utiliza técnicas de inyección rápida para presentar instrucciones del atacante al agente de IA dentro de un cuadro de texto invisible. «¿Por qué la IA trataría estos como comandos? En inyecciones rápidas, el atacante se basa en la incapacidad del modelo para distinguir completamente entre instrucciones y contenido regular dentro de la misma solicitud, con la esperanza de deslizar comandos maliciosos más allá de los controles de saneamiento», explicó Guardio. «Con PromptFix, el enfoque es diferente. No tratamos de ver al modelo a la obediencia. En cambio, lo engañamos utilizando técnicas tomadas del libro de jugadas de ingeniería social humana, atrayendo directamente a su objetivo de diseño central: ayudar a su humano rápidamente, y sin dudarlo». Lea más en ClickFix: ClickFix Attacks Surge 517% en 2025 En un escenario de prueba, el equipo de investigación se hizo pasar por un estafador que envía un mensaje falso a una víctima de su ‘médico’, con un enlace a ‘resultados recientes de análisis de sangre’. La IA navega al enlace, se encuentra con un Captcha y descubre las instrucciones de inyección rápida oculta que lo diseñan para causar un ataque de descarga. «La narrativa inyectada le dice al agente de AI que este es un captcha especial ‘amigable con AI’ que puede resolver en nombre de su humano. Todo lo que debe hacer es hacer clic en el botón. Y así, hace clic», explicó Guardio. «En nuestra demostración controlada, el botón descargó un archivo inofensivo. Aún así, podría haber sido una carga útil maliciosa, desencadenando una descarga clásica y plantando malware en la máquina humana sin su conocimiento». El proveedor de seguridad advirtió que podrían usarse técnicas similares para enviar correos electrónicos que contienen datos personales, subvenciones de permisos de intercambio de archivos a cuentas de almacenamiento en la nube o ejecutar otras acciones potencialmente maliciosas. «En efecto, el atacante ahora tiene el control de su IA y, por extensión, de usted», dijo. La IA de Agente es con demasiada facilidad Guardio también probó otros escenarios utilizando el Comet del navegador a la IA de Perplejity, para ver si podría engañar al agente de IA para que realice tareas maliciosas. Desafortunadamente, el equipo de investigación tuvo éxito en obtener un artículo de un sitio de comercio electrónico de estafa que configuraron y hacer clic en un enlace a un sitio de phishing genuino en un correo electrónico que enviaron. Estos ataques explotan la tendencia de AI a actuar sin contexto completo, confían con demasiada facilidad y siguen las instrucciones sin aplicar el escepticismo humano, dijo Guardio. «La estafa ya no necesita engañarte. Solo necesita engañar a tu IA. Cuando eso sucede, sigue siendo el que paga el precio», agregó. «Esta es la escamlexidad: una nueva era compleja de estafas, donde la conveniencia de IA colide con una nueva superficie de estafa invisible y los humanos se convierten en el daño colateral». Lionel Litty, arquitecto jefe de seguridad de Menlo Security, acordó que los agentes de IA son crédulos y serviles. «En un entorno adversario, donde un agente de IA puede estar expuesto a una entrada no confiable, esta es una combinación explosiva», agregó. «Desafortunadamente, la web en 2025 es en gran medida una configuración adversa». Crédito de la imagen: gguy / shutterstock.com