¿Por qué otorgarle a mi agente acceso a herramientas implica confiarle todo?

Cuando le proporcionas a un agente de IA un conjunto de herramientas, ya sea acceso al sistema de archivos, solicitudes web o llamadas a APIs, no existe ningún mecanismo estándar que vincule cada invocación de herramienta al alcance específico que autorizaste al aprobar la tarea. El agente puede encadenar acciones más allá de la intención original o ser redirigido mediante inyección de prompt para usar sus propias herramientas en tu contra. Microsoft lanzó el Agent Governance Toolkit en abril de 2026 y en marzo de 2026 aparecieron publicaciones en arXiv sobre vinculación criptográfica para llamadas de herramientas de agentes, pero estas iniciativas son incipientes y no están integradas en ningún runtime de agentes ni SDK convencional. La brecha central es la ausencia de un primitivo de mínimo privilegio a nivel semántico: uno que vincule las llamadas individuales de herramientas a una autorización verificable con alcance de usuario, en lugar de permisos amplios a nivel de sesión. El Agentic AI Top 10 de OWASP de diciembre de 2025 clasifica explícitamente la ejecución inesperada de herramientas