Azazel: la herramienta que vigila a los agentes de IA como si fueran malware

Un desarrollador ha creado una solución innovadora para un problema fundamental en la seguridad de los agentes de inteligencia artificial autónomos: la imposibilidad de confiar en sus propios registros de actividad. La herramienta, denominada Azazel, utiliza tecnología eBPF (extended Berkeley Packet Filter) para monitorizar agentes de IA en contenedores desde una capa que estos no pueden detectar, manipular o eludir. El problema que aborda es tan simple como preocupante: los agentes de IA actuales generan registros de aplicación controlados por ellos mismos. Reportan qué herramientas han utilizado, qué resultados han obtenido y rastros de su razonamiento, pero el agente decide qué información revela y cuál oculta. Esto es equivalente al dilema secular en el análisis de malware: si el sujeto bajo observación controla su propio sistema de reportes, esos reportes carecen de valor para fines de seguridad. La solución propuesta toma inspiración de décadas de experiencia en la detección de malware. En lugar de confiar en lo que el agente reporta sobre sí mismo, Azazel observa desde el kernel del sistema operativo, una capa que ningún software en espacio de usuario puede alcanzar, desactivar o detectar. eBPF permite ejecutar código verificado directamente en el núcleo del sistema sin requerir módulos del kernel ni reiniciar la máquina. Azael implementa diecinueve puntos de enganche distribuidos entre tracepoints y kprobes para capturar información crítica. Monitoriza el árbol completo de procesos, registrando identificadores de proceso, procesos padre y argumentos de línea de comandos. Simultáneamente, registra todas las operaciones de archivo, incluyendo rutas y conteos de bytes leídos o escritos. La actividad de red se captura íntegramente, con detección específica de DNS mediante kprobes en la función udp_sendmsg del kernel. La herramienta también enfatiza eventos relevantes para la seguridad, como llamadas ptrace, operaciones mmap con permisos de escritura y ejecución simultáneos (W+X), y cargas de módulos del kernel. Todos estos datos se exportan en formato NDJSON, un estándar que facilita el procesamiento y análisis posterior. La característica más relevante es que el agente monitoreado es completamente inconsciente de la vigilancia. No puede detectarla mediante llamadas al sistema, no puede desactivarla y no puede interferir en los datos capturados. eBPF ejecuta el código de monitorización en espacio de kernel, completamente invisible desde el espacio de usuario donde operan los agentes. Esta aproximación representa un cambio de paradigma en la seguridad de sistemas autónomos. A medida que los agentes de IA se despliegan en entornos críticos y se les otorga mayor autonomía, la necesidad de mecanismos de observabilidad que el agente no pueda comprometer se convierte en imprescindible. La disponibilidad de una herramienta de código abierto para estos fines democratiza el acceso a capacidades de monitorización que previamente estaban limitadas a entornos especializados de investigación de seguridad. El proyecto ha sido publicado como software de código abierto, permitiendo que la comunidad de investigadores y profesionales de seguridad verifique la implementación, contribuya mejoras y adapte la herramienta a casos de uso específicos. Esta apertura es particularmente relevante dado que trata aspectos fundamentales de seguridad en sistemas autónomos.