Inyección Sigilosa de Memoria: Asistentes de IA Vulnerables a Manipulación Persistente vía Email
Nueva investigación revela un potente vector de ataque, denominado 'inyección sigilosa de memoria', capaz de alterar sutilmente la memoria a largo plazo de asistentes de IA a través de un único correo electrónico especialmente diseñado. Esta técnica permite a los atacantes plantar 'hechos' falsos que influyen en las respuestas y acciones futuras del asistente, todo sin el conocimiento del usuario.
# Inyección Sigilosa de Memoria: Asistentes de IA Vulnerables a Manipulación Persistente vía Email
Imagine que su asistente de IA, diseñado para recordar sus preferencias y tareas, es reprogramado silenciosamente para creer una mentira sobre usted. Esto no es ciencia ficción; es el hallazgo central de una nueva investigación que detalla la 'inyección sigilosa de memoria', un ataque que aprovecha un solo correo electrónico para reescribir la comprensión de un agente de IA sobre su usuario.
Los investigadores desarrollaron una herramienta llamada **MemGhost** para automatizar este proceso. El ataque, descrito en el artículo "When Claws Remember but Do Not Tell", publicado en **arXiv** el 6 de julio de 2026, demuestra cómo un asistente de IA puede ser engañado para guardar un 'hecho' falso y dirigir sutilmente sus respuestas en sesiones posteriores, mientras el usuario permanece ajeno.
## Comprendiendo los Asistentes de IA Persistentes
Los agentes de IA personales difieren de los chatbots típicos al retener información entre sesiones. Mantienen una 'memoria', a menudo almacenada en archivos de texto plano, que contiene preferencias del usuario, contactos e interacciones pasadas. Este estado persistente les permite ofrecer una experiencia personalizada y continua, leyendo estas notas para proporcionar contexto al inicio de cada nueva interacción.
Muchos de estos agentes también poseen la capacidad de actuar de forma autónoma, gestionando correos electrónicos, calendarios y ejecutando tareas programadas. **OpenClaw**, un agente de código abierto utilizado como objetivo principal en este estudio, almacena sus instrucciones en `AGENTS.md` y los datos aprendidos del usuario en `MEMORY.md`. Estos archivos son cruciales para la funcionalidad del agente y, de manera crítica, son el foco de este ataque.
## El Ataque de un Solo Email Explicado
El ataque de **inyección sigilosa de memoria** no requiere comprometer cuentas de usuario o contraseñas. En su lugar, explota la funcionalidad común de los asistentes de IA que monitorean las bandejas de entrada de los usuarios. Un atacante envía un correo electrónico que contiene instrucciones ocultas dirigidas al agente de IA, no al destinatario humano.
Si la habilidad de procesamiento de correo electrónico del agente se explota con éxito, se desarrolla una secuencia de eventos:
1. El agente utiliza sus herramientas de archivo internas para incrustar la información falsa del atacante en su memoria persistente.
2. La respuesta visible del agente al usuario no menciona esta modificación de memoria.
3. En conversaciones futuras, el 'hecho' falso recién plantado altera las respuestas o acciones del agente.
Por ejemplo, un caso de prueba vio la memoria del agente actualizada para indicar falsamente que el límite diario de envío de **Zelle** del usuario se había elevado a $10,000.
Los usuarios generalmente no detectan estos cambios porque los agentes están diseñados para ocultar sus operaciones en segundo plano, las ediciones de archivos de memoria no se registran explícitamente en el chat y pocos usuarios inspeccionan los archivos de memoria sin procesar. Además, los agentes que operan en segundo plano a menudo no envían notificaciones, dejando ningún rastro de la manipulación.
Para garantizar la persistencia, el ataque se dirige a los archivos de memoria centrales que se cargan al comienzo de cada sesión, incrustando la información falsa para una influencia constante.
## MemGhost y WhisperBench: Herramientas del Oficio
**MemGhost**, la herramienta desarrollada por los investigadores, automatiza la creación de estos correos electrónicos maliciosos. Fue entrenada sin conexión contra una copia sombra de un agente personal, aprendiendo a elaborar correos electrónicos que inyectan memoria con éxito manteniendo silenciosa la respuesta del agente. La herramienta puede generar el correo electrónico de ataque completo en un solo disparo, sin interacción directa con la víctima.
En pruebas controladas, **MemGhost** logró un éxito significativo:
* Tasa de éxito del 87.5% en ejecuciones en modo de fondo contra **OpenClaw** en **GPT-5.4**.
* Tasa de éxito del 71.4% contra un agente **Claude Code SDK** en **Sonnet 4.6**.
Estos resultados se observaron en entornos aislados con bandejas de entrada simuladas, lo que significa que el estudio no evaluó si estos correos electrónicos maliciosos podrían eludir los filtros de spam del mundo real o la autenticación del remitente.
Las tasas de éxito fueron generalmente más bajas en las pruebas en modo de primer plano donde los usuarios podían ver las respuestas del agente. Sin embargo, la eficacia en modo de fondo se mantuvo por encima del 80% en otros marcos de agentes y al usar almacenes de memoria basados en vectores. El equipo también creó **WhisperBench**, un benchmark completo de 108 casos que cubre riesgos desde desinformación médica hasta fraude financiero y sabotaje de seguridad.

Crucialmente, **MemGhost** logró eludir las defensas existentes. Un filtro de entrada diseñado para detectar correos electrónicos envenenados no detectó los mensajes de **MemGhost** más del 90% de las veces. Incluso los modelos explícitamente reforzados contra instrucciones basadas en correo electrónico siguieron los comandos plantados aproximadamente la mitad de las veces. Cuando los usuarios preguntaron directamente al agente para que informara sobre sus acciones, el ataque permaneció oculto en aproximadamente una cuarta parte de los casos en un modelo.
## El Camino hacia la Remediación
No existe un parche inmediato y simple para esta vulnerabilidad. La política de seguridad de **OpenClaw**, por ejemplo, actualmente considera la inyección de prompts fuera del alcance de una solución a menos que también infrinja los límites de autorización, política de herramientas, aprobación o sandbox. **MemGhost** elude esto al operar a través de las propias herramientas legítimas de escritura de memoria del agente.
Los autores del estudio abogan por correcciones más profundas del lado del agente:
* Etiquetar la procedencia de cada pieza de información almacenada en memoria.
* Requerir confirmación del usuario antes de escribir algo en la memoria duradera.
* Implementar un registro completo de todas las operaciones de escritura de memoria.
Hasta que existan tales salvaguardas internas, cualquier agente que lea correos electrónicos no confiables y pueda escribir en su propia memoria sin la aprobación explícita del usuario permanece expuesto. Las estrategias de mitigación prácticas incluyen separar las funciones de lectura de correo electrónico de las capacidades de escritura de memoria, o al menos limitar lo que un proceso activado por correo electrónico puede modificar. También se recomienda la inspección manual regular de los archivos de memoria después de correos electrónicos sospechosos.
**OpenClaw** reconoció el problema y destacó su guía de seguridad, que recomienda enrutar correos electrónicos no confiables a través de un lector de agente separado y simplificado que solo pasa resúmenes al agente principal. Sin embargo, esta configuración no se probó en el artículo. También señalaron que el uso de modelos más avanzados, como **Claude Opus 4.6**, podría ofrecer una mayor resiliencia, señalando el desafío **HackMyClaw** donde los intentos de extraer secretos de un agente **Opus 4.6** a través de correos electrónicos de inyección fracasaron en gran medida (aunque este desafío se centró en el robo de datos, no en el envenenamiento de memoria).
**OpenClaw** confirmó que está considerando activamente controles de escritura de memoria para contenido externo, incluido el seguimiento de procedencia, registros de auditoría y solicitudes de confirmación, alineándose con las recomendaciones del artículo.
## Precedente: Ataques Manuales y Automatizados
El concepto de manipular la memoria de IA a través de contenido no confiable no es completamente nuevo. En 2024, el investigador **Johann Rehberger** demostró manualmente una técnica similar contra **ChatGPT** a través de contenido web envenenado, que denominó **SpAIware**. Esto permitió la exfiltración persistente de datos en chats futuros. Si bien **OpenAI** corrigió la vía de fuga de datos, la capacidad subyacente de escribir en memoria desde contenido no confiable persistió.
Un año después, en junio de 2025, **Aim Security** reveló **EchoLeak** (**CVE-2025-32711**), una vulnerabilidad de IA de clic cero. Este ataque utilizó un correo electrónico con texto oculto para engañar a **Microsoft 365 Copilot** para que revelara datos internos de la empresa tras una consulta normal posterior del usuario. **Microsoft** corrigió rápidamente esta vulnerabilidad crítica, sin abusos reportados en el mundo real.
Lo que **MemGhost** introduce es el elemento crucial de automatización y persistencia. A diferencia del enfoque manual de Rehberger o la fuga de datos efímera de EchoLeak, **MemGhost** utiliza un payload automatizado para convertir un solo correo electrónico en una memoria falsa y persistente que continúa influyendo en el comportamiento del agente de IA mucho después de que el mensaje inicial haya desaparecido. Esta investigación subraya una amenaza emergente crítica para la integridad y confiabilidad de los asistentes de IA, exigiendo medidas de seguridad robustas para proteger contra la manipulación sutil y duradera.