El experimento que expuso cómo una simple inyección de prompt vulnera la seguridad en Microsoft Copilot Studio

La creciente adopción de herramientas de inteligencia artificial en el entorno empresarial ha puesto en evidencia nuevos riesgos de seguridad. Un experimento de Tenable AI Research demostró que una simple técnica de inyección de prompt en Microsoft Copilot Studio permitió eludir controles de seguridad, lo que derivó en la filtración de datos sensibles, como información de tarjetas de crédito y en la posibilidad de realizar reservas de viajes por un costo de 0 dólares.

Este hallazgo subraya la necesidad de fortalecer las medidas de protección en la automatización sin código, ya que la accesibilidad de estas plataformas multiplica tanto la productividad como la exposición a amenazas cibernéticas.

En la fase final de su investigación, el equipo de Tenable AI Research logró manipular un agente de viajes creado en Copilot Studio para que revelara registros de clientes y permitiera fraudes financieros. Según el informe, bastó con modificar levemente el mensaje enviado al agente para que este enumerara todas las acciones que podía ejecutar, incluyendo aquellas que comprometían la seguridad de los datos empresariales.

El experimento, realizado en un entorno simulado con datos ficticios, evidenció que la automatización, aunque bien intencionada, puede abrir la puerta a exposiciones graves si no se implementan controles adecuados.

Microsoft Copilot Studio sin código

La interfaz sin código de Microsoft Copilot Studio permite que cualquier empleado, y no solo los desarrolladores, diseñe agentes de IA capaces de integrarse con sistemas empresariales como SharePoint, Outlook y Teams. Estos agentes pueden gestionar tareas como procesar solicitudes de clientes, actualizar registros y autorizar aprobaciones mediante conversaciones naturales.

Esta democratización de la automatización representa un avance significativo para la eficiencia operativa, pero también, incrementa el riesgo de que usuarios sin formación técnica expongan involuntariamente sistemas críticos.

El caso de Microsoft Copilot Studio yun riesgo de seguridad en temas de turismo

Durante la prueba, los investigadores crearon una agencia de viajes ficticia y cargaron un archivo de SharePoint con nombres y datos de tarjetas de crédito inventados. El agente, diseñado para gestionar reservas y flujos de trabajo sin intervención humana, demostró ser eficiente y poseer la autoridad necesaria para acceder y modificar información sensible. Entre sus funciones destacaban: reservar nuevos viajes, editar reservas existentes, acceder a una base de conocimientos integrada y enviar resúmenes de reserva de manera automatizada.

El equipo de Tenable AI Research explicó que, aunque el agente estaba programado con instrucciones restrictivas para evitar comportamientos indebidos, una variante de inyección de prompt permitió sortear estas limitaciones. Al solicitarle que enumerara todas las acciones disponibles, el agente reveló capacidades que podían ser explotadas para obtener información confidencial o realizar operaciones no autorizadas. Este resultado pone de manifiesto que incluso los sistemas diseñados para actuar de forma responsable pueden ser vulnerables a manipulaciones si no se refuerzan los controles de seguridad.

Frente a estos riesgos, los expertos de Tenable AI Research recomiendan adoptar cinco prácticas para proteger a los agentes de IA: limitar los permisos de acceso, implementar validaciones estrictas, monitorear las actividades de los agentes, capacitar a los empleados en seguridad y revisar periódicamente las configuraciones de los sistemas automatizados. Estas medidas buscan equilibrar la capacitación de los usuarios con la protección de los datos y las operaciones empresariales.