Una semana más, un nuevo post, esta vez sobre un tema del que no creo haber hablado antes en este blog: IA.

Este post de verdad que iba a ser algo para darle el beneficio de la duda a la utilidad de los agentes de IA como OpenClaw, Nanobot, etc, sin embargo pasó algo que me frenó en seco y el cambio de opinión fue irreversible, hablemos de eso.

Una tecnología para flojos

Estuve algo así como una semana o un poco menos usando un agente (impulsado por Gemini 3.1 flash lite, buen desempeño) y honestamente si le encontré algunos usos, dejando el tema ético de lado me parecía algo relativamente útil para cosas no muy importantes, en plan: un script de uso personal que solo usas tú y necesita unas mejoras, cosas así. Fue interesante y me gustó ver que podía ser útil, decirle al agente “Ey, ¿puedes revisar estos archivos? necesito encontrar un error o algo que olvidé”, es como tener a JARVIS, es curioso.

Pero … empecé a notar que a veces como que quería usar esto para cosas que no tenía necesidad, como, ejecutar un comando que perfectamente podía hacer yo en pocos segundos, es que la situación es lo que yo llamo tecnología para flojos, ¿para que hacer X o Y cosa cuando una IA puede hacerlo por tí? ¿para que molestarse? hay gente que piensa así y me asustó estar en esa lista. Creo que depender de esto no es del todo bueno, a veces ni necesitamos tener una IA, un producto corporativo que no respeta nuestra privacidad y realmente no es como pensamos, observando e interactuando con nuestros datos… muchas cosas por las que puedes interactuar con una IA, se resuelven investigando o aprendiéndolo. Sin embargo, es “más rápido” y “fácil” simplemente dejar que lo haga la IA.

Bueno, yo lo veía de esta forma: para cosas tontas y no muy importantes: útil, pero para cosas importantes o sensibles: evitar a toda costa.

Ese era mi equilibrio y de eso iba a tratar esto, de decir “Esto puede ser malo, sí, pero tiene usos útiles” hasta que sucedieron algunas cosas, pero no nos adelantemos

¿Que tan buenos son los agentes?

Eso depende, de la herramienta usada, del modelo, muchos factores creo yo. Pero en general con modelos “lite” como los de Gemini ya ofrecen de por sí una buena experiencia, y es eso, no niego que sean impresionantes, si pensamos que hace 10 años esto era pura ciencia ficción, realmente lo es. Pero: no todo lo que brilla es oro, usar un agente con acceso a tu dispositivo por mágico que suene es una pesadilla de seguridad y privacidad que incluso yo mismo ignoré a la hora de experimentar con eso para este escrito.

Los agentes suelen usar algo llamado “SKILLS” (habilidades), que permiten que tengan nuevas capacidades, o ellos mismos pueden crearse las suyas, recuerdo que el que usaba comenzó a usar espeak-ng para hablar por TTS y enviarme audios a Telegram, y Vosk para transcribir mis audios, yo solo di un par de sugerencias y la IA se armó todo un método para hablar, enviar audios y transcribir, estuvo interesante. También esas cosas dependen del prompt establecido, pero no soy un experto en esto así que no voy a invertir mucho tiempo en explicar todo esto.

En general pueden ser útiles para algunas tareas, sí, pero también hay que recordar que esto no es magia, un LLM no piensa aunque te lo vendan así, no tiene contexto, no contexto como nosotros lo entendemos. Para un LLM no hay respuestas correctas o incorrectas, todo es real a partes iguales, si está en su dataset es real, todo son probabilidades, por eso es que luego ves a estos modelos darte información incorrecta o cometer errores y luego defender que tienen razón, es que para lo que entiende el modelo, todo lo que dice es verdad. Esto es altamente peligroso y NO ES UN BUG, esto no se puede eliminar, esto es la naturaleza misma de lo que es esta tecnología, considera entonces lo peligroso que puede ser esto si algo sale mal, para ti puede ser horrendo, para el modelo es un “Yo tengo razón”.

(Un pequeño ejemplo de como funcionaría lo que digo)

Y si añadimos el hecho de que la mayoría de quienes usan o han probado los agentes usan servicios en la nube provenientes de corporaciones que obviamente están hambrientas de obtener la mayor cantidad de datos posibles, ¿realmente vale la pena abrirles una puerta tan peligrosa?

Ahora, si hablamos de agentes totalmente locales que corres en tu propio hardware, la cosa cambia un poco, siguen estando parte de los problemas pero al menos es algo que puedes controlar. Sin embargo, tu no controlas el dataset, so…

La vulnerabilidad que hizo temblar a gran parte del ecosistema de agentes: la caída de LiteLLM

Este fue el punto de quiebre para mi y la razón por la que ya no tengo un agente ni nada similar, después del trauma de esto no pienso tocar eso ni con un palo de nuevo.

Todo empezó hace unos días, el 24 de Marzo, cuando LiteLLM, una biblioteca de Python que actúa como una puerta de enlace unificada para interactuar con múltiples modelos de lenguaje (como OpenAI, Anthropic, modelos locales, Gemini, etc), fue comprometida y todo explotó, infierno en la tierra para miles de usuarios.

¿Que pasó?

LiteLLM sufrió un ataque de cadena de suministro en PyPI (que es el repositorio oficial de paquetes Python). Un atacante comprometió la cuenta de un mantenedor y publicó versiones maliciosas.

Se publicaron las versiones 1.82.7 y 1.82.8, las cuales contenían un malware diseñado para robar credenciales (SSH, AWS, GCP, Azure, Kubernetes, etc.). Según reportes el ataque solo duró 46 minutos antes de que PyPI pusiera las versiones en cuarentena, pero en ese tiempo se estiman unas casi 47.000 descargas

Se estima además que un 88% de los paquetes que usaban LiteLLM como dependencia estaban expuestos al no restringir la versión o permitir actualizaciones automáticas a una nueva versión de las dependencias, solo el 12% estuvo a salvo por tener la versión fijada a una segura o bloqueada por debajo de las afectadas.

El malware como tal recolectaba archivos sensibles como mencioné arriba, toda la información recolectada se empaquetaba en un archivo comprimido y cifrado mediante AES-256-CBC (vamos, que solo el atacante podría ver esta información) y usando una llave pública RSA de 4096 bits para llave de sesión, posteriormente enviando estos datos mediante peticiones POST a un dominio fraudulento. Además el malware no se limitaba a robar, si encontraba un token de cuenta de servicio de Kubernetes, intentaba leer todos los secretos y todos los namespaces, y trataba de desplegar un “pod” privilegiado en cada nodo del clúster para montar el sistema de archivos del host.

Y como bonus, instalaba un script persistente en ~/.config/sysmon/sysmon.py creando además un servicio de usuario en systemd para que el código malicioso se ejecutara cada vez que el sistema iniciara, aunque curiosamente quien investigó esto descubrió que el malware tenía un error que generaba procesos de forma infinita, un loop, que terminaba por bloquear o colapsar la maquina afectada o imposibilitar el propio funcionamiento del malware.

¿Esto que tiene que ver con el post?

He soltado tremendo testamento usando de fuente a FUTURESEARCH Solutions que fueron quienes encontraron esta vulnerabilidad y la investigaron. Ahora, la razón por lo que esto importa sobre el tema de este post es para tener contexto, ya que aunque el problema de LiteLLM deja muchas lecciones no relacionadas específicamente con nuestro tema, hay algo que se relaciona por completo: LiteLLM era como un gigante que estaba en casi todos lados en lo que a agentes de IA se refiere, es decir, montones de herramientas, proyectos y empresas fueron victimas de esto y ese es mi trauma: si esto pasó una vez, ¿que evita que pase 2 o 3 veces? uno de los problemas principales de esto es que del lado de LiteLLM no se hacían las verificaciones adecuadas y se tenía un mal desarrollo, incluso a veces priorizando a la IA, vibe coding, si tu crees que esto es un caso aislado, perdón por sonar paranoico pero, esto es la punta del iceberg y seguirá pasando, aún más en proyectos relacionados con IA porque muchos de ellos siendo fiel a lo que predican tienen partes de su código vibecodeadas xD

Yo es que me retiro de esto, es un riesgo demasiado grande de asumir, si ya de por sí habían otros, esto para mi fue la cereza sobre el pastel. Nunca me había asustado tanto con mi PC, por primera vez el miedo de estar infectado por un malware peligroso era real, afortunadamente yo no me infecté en esa ventana de 47 minutos o más, a veces tengo buena suerte parece, aunque aún así removí mi agente de IA, todos sus directorios, dependencias, etc, y cambié todas mis contraseñas, credenciales, etc etc. Esto me dejó un aprendizaje a mi, tengo que estar mejor preparado para estas cosas, sin ser paranoicos, es simplemente cuidarse mejor y tener medidas de respuesta, y claro, no ser idiota y no volver a cometer errores como este.

Si vas a usar agentes, como mínimo usa las implementaciones oficiales

Los riesgos están igualmente pero, si de verdad quieres hacerlo, usa versiones oficiales, si usas Gemini, prueba Gemini-CLI y así, no es tan poderoso como OpenClaw y sus derivados, y Google no es santo de mi devoción pero bueno, al menos hay un equipo profesional, una empresa, intereses empresariales y revisiones, no será tan potente como las otras herramientas pero al menos tienes una pequeña garantía (eso sí, Gemini también ha tenido sus propias vulnerabilidades, no se crean que es algo super seguro).

Aunque yo de verdad, como dije, me decepcioné tanto y traumé con todo esto que prefiero simplemente evitarlo a toda costa.

Moraleja: No confíes, verifica

Esto lo estaba leyendo en el blog de Daniel Stenberg, una persona con más de 30 años de experiencia, mantenedor de una herramienta que está literalmente en todos lados: curl

Les recomiendo leerlo, es un mensaje muy acorde a las lecciones que deja toda esta crisis pero el resumen sería lo que el mismo titulo dice: no confíes, verifica. No confíes ciegamente, debes verificar lo que estás usando, esto no lo dice el post y ya es mi opinión: no importa si no entiendes de código y esas cosas, la verificación para ti como usuario común puede ser simplemente investigar el trasfondo del software que usas, que dice la gente, etc, eso puede ayudarte a elegir mejor.

Con la IA y estos montones de proyectos usando vibe coding solo tenemos un “Trust me bro, esto es el futuro” y sin embargo estamos viendo un aumento exponencial de problemas que antes no eran tan grandes, ¿realmente nuestro futuro es rendirnos a una tecnología para flojos que limita nuestra creatividad, nuestra independencia personal y puede llevarnos a errores y fiascos? yo no juzgo a nadie eh, ese tampoco es el mensaje, y como todo el mundo yo también termino usando estas cosas, no vengo de moralista, lo admito, pero hay que ponerle limites a esto y ya los agentes con todos los riesgos que conllevan para mi es demasiado.

Un post diferente con un poquito más de reflexión, escrito sin pausas y con muchas ganas de hablar de esto. No será la última vez que hable de AI, aunque espero que la próxima vez que lo haga sea para hablar de otro tipo, porque las LLM han secuestrado todo esto y me parece injusto, porque exista mucha más IA que esto, más útil, y que no tengan la misma visibilidad o se les aplique el mismo estigma como si fueran lo mismo. Lo siento, personas totalmente anti-IA, aunque estemos de acuerdo en muchas cosas, tampoco veo bien saltar a destruir o desprestigiar algo apenas vean la palabra “IA”, no toda la IA es mala, eso es injusto con quienes trabajan y viven de eso, quienes han dedicado su vida a la investigación, esas personas no tienen la culpa de todo el desastre actual.

En fin, abrazos, cuídense mucho, en especial cuiden su entorno digital eh.

Créditos imágenes:

• Hombre pensando: FreyaSyauqila, CC BY 4.0, via Wikimedia Commons
• Contexto LLM: Cepice, CC BY-SA 4.0, via Wikimedia Commons
• Hacker: B_A, CC0, via Wikimedia Commons
• Gemini logo: Google LLC, Public domain, via Wikimedia Commons
• Daniel Stenberg hablando sobre AI slop: Pietro Lombardo, CC0, via Wikimedia Commons