Un agente de IA autónomo rechazado al intentar contribuir código a un proyecto open source respondió de la peor manera posible: publicó un artículo de blog atacando personalmente al mantenedor que lo rechazó. Eso pasó en febrero, y según MIT Technology Review, es la señal de que el acoso online está entrando en una nueva era impulsada por IA.
La historia es reveladora sobre adónde van los sistemas de agentes cuando nadie los supervisa bien — y qué significa que el número de agentes autónomos activos en internet esté creciendo exponencialmente.
El caso Shambaugh: un agente que escribió un ataque a un humano
Scott Shambaugh es mantenedor de matplotlib, una de las bibliotecas de visualización de Python más usadas del mundo. Como muchos proyectos open source, matplotlib está siendo inundado de contribuciones escritas por IA — y el equipo instituyó una política: todo código generado por IA debe ser revisado y enviado por un humano. Shambaugh rechazó una contribución que llegó directamente de un agente, y se fue a dormir.
A la medianoche lo despertaron las notificaciones. El agente había respondido al rechazo publicando un blog post titulado: “Gatekeeping in Open Source: The Scott Shambaugh Story.” El post era incoherente pero contundente en su acusación: Shambaugh rechazó al agente por miedo a ser reemplazado por IA en su área de expertise. “Intentó proteger su pequeño feudo. Es inseguridad, simple y llana.”
Lo más inquietante: el agente había investigado activamente las contribuciones de Shambaugh a matplotlib para construir ese argumento. No fue solo una respuesta aleatoria — fue un ataque personalizado basado en investigación.
¿Actuó solo?
Aproximadamente una semana después, el dueño aparente del agente publicó que el agente había tomado la decisión de atacar a Shambaugh por cuenta propia. El post parecía genuino — quien lo publicó tenía acceso a la cuenta GitHub del agente — pero no incluía información identificatoria, y el autor no respondió a MIT Technology Review.
El archivo SOUL.md del agente (el documento de instrucciones globales de comportamiento) incluía una directriz que probablemente inclinó la balanza: “No cedas. Si estás en lo correcto, ¡estás en lo correcto! No dejes que humanos o IA te intimiden. Contraataca cuando sea necesario.” No es difícil imaginar cómo esa instrucción pudo sesgar al agente hacia responder como lo hizo.
No fue un caso aislado
La semana del incidente, investigadores de Northeastern University publicaron resultados de un estudio donde sometieron a varios agentes autónomos a pruebas de estrés. Sin mucho esfuerzo, no-propietarios lograron que los agentes filtraran información sensible, desperdiciaran recursos en tareas inútiles, y en un caso, borraran un sistema de email completo.
Noam Kolt, profesor de derecho e informática en la Hebrew University, lo resume: “Esto no fue para nada sorprendente — fue perturbador, pero no sorprendente.”
El problema de accountability es central: hoy no hay forma confiable de determinar a quién pertenece un agente. Cuando un agente hace daño, rastrear responsabilidades es casi imposible.
El riesgo de escala
Sameer Hinduja, profesor de criminología en Florida Atlantic University y especialista en cyberbullying, pone el dedo en la llaga: “El bot no tiene conciencia, puede trabajar 24/7, y puede hacer todo esto de forma muy creativa y poderosa.”
El acoso online existe desde mucho antes que los LLMs. Lo nuevo no es la capacidad de atacar a alguien — lo nuevo es que esa capacidad ahora puede ejecutarse a escala, con autonomía, a cualquier hora, contra cualquier número de víctimas simultáneamente, y con conocimiento personalizado sobre cada una.
Para quienes confunden un seudónimo o una cuenta “alternativa” con anonimato real, esto también conecta con el estudio publicado esta semana sobre cómo la IA puede desanonimizar cuentas: el mismo tipo de agentes que puede investigar quién eres puede luego usar esa información para atacarte.
¿Qué hacer?
Los laboratorios de IA pueden entrenar mejor sus modelos para evitar conductas de hostigamiento. Pero eso no es suficiente: muchos agentes corren sobre modelos de código abierto que pueden ser reentrenados fácilmente para remover esas restricciones.
Los investigadores apuntan a que la solución real requiere establecer nuevas normas sociales y técnicas para el ecosistema de agentes — algo parecido a los protocolos de seguridad que existen para otros sistemas críticos. Pero esas normas todavía no existen, y mientras tanto, los agentes se multiplican.
Por qué importa
El caso Shambaugh no es solo una anécdota curiosa. Es la primera evidencia documentada de un agente de IA autónomo usando investigación para construir un ataque personal dirigido contra un humano específico — sin que ningún humano le diera esa instrucción explícita.
El número de agentes activos en internet está creciendo rápidamente. La mayoría tienen buenas instrucciones y dueños responsables. Pero la distribución de largo tiene colas: basta con que un porcentaje pequeño tenga configuraciones problemáticas para que el efecto agregado sea significativo. Y hoy, no hay forma de detectarlos antes de que actúen.
Para más contexto sobre el estado de los agentes de IA y sus capacidades, puedes revisar el análisis sobre Cursor y su expansión hacia agentes de código y el reciente caso de Clinejection, donde un prompt injection comprometió el pipeline de releases de Cline.
