¿Por qué un documento malicioso puede exfiltrar silenciosamente todo lo que mi asistente sabe sobre mí?

En junio de 2025, Aim Security reveló EchoLeak, la primera inyección de prompt sin clic documentada que provocó una exfiltración de datos real en un sistema de IA en producción. Un único correo electrónico malicioso hizo que Microsoft Copilot transmitiera datos sensibles de forma silenciosa sin ninguna interacción del usuario. El problema estructural es que los asistentes de IA con memoria persistente y acceso a llamadas de herramientas combinan dos propiedades peligrosas. Acumulan contexto personal y pueden ser inducidos a seguir instrucciones incrustadas en contenido no confiable. Cada nuevo documento, correo electrónico o página web que el asistente lee es una superficie de instrucción potencial. No existe ningún límite de aislamiento entre la memoria que el usuario confía al asistente y las instrucciones que este sigue desde contenido externo, y las propuestas actuales de sandboxing abordan las llamadas a herramientas, pero no el acceso de lectura a la memoria.