Cuando un unico orquestador comprometido controla toda la pila de agentes

Nivel Critical Momento Post deployment

Qué es este riesgo

Ataques que tienen como objetivo al agente orquestador en un sistema multiagente — el agente central responsable de dirigir a otros agentes. Al comprometer al orquestador, un atacante obtiene la capacidad de dirigir todo el ecosistema de agentes, ya que los subagentes típicamente confían en las instrucciones del orquestador y las siguen sin verificación.

Cómo ocurre · Mecanismos

En las arquitecturas multiagente típicas:

« Usuario → Orquestador → Subagente 1 → Subagente 2 → Subagente 3 (con acceso privilegiado) «

Los subagentes están diseñados para confíaren el orquestador. Si un atacante puede manipular al orquestador — mediante inyección de prompt, manipulación de contexto o jailbreaking — controla efectivamente todo el sistema, incluyendo los subagentes con acceso privilegiado.

Por qué esto es más peligroso que los ataques directos: Los subagentes a menudo tienen acceso a recursos sensibles (bases de datos, APIs, sistemas de archivos) que no están expuestos directamente. El orquestador es la puerta de entrada. Compromete la puerta de entrada, accede a todo.

Mitigaciones · Gobernanza

  • Endurecimiento del orquestador — Aplicar los controles de seguridad más estrictos al orquestador; es el objetivo de mayor valor
  • Verificación de procedencia de instrucciones — El orquestador verifica que las instrucciones vinieron del principal usuario autenticado, no del contenido procesado
  • Escepticismo de los subagentes — Los subagentes no deben seguir ciegamente las instrucciones del orquestador para acciones sensibles
  • Separación de privilegios — El propio orquestador no debe tener acceso directo a recursos sensibles
  • Integridad de sesión — Detectar cuándo el comportamiento del orquestador cambia significativamente dentro de una sesión

Riesgo que no puedes nombrar es riesgo que no puedes gestionar.

Mapea tu cartera de IA contra esta taxonomía con Zertia.