Microsoft ha implementado y continúa implementando mitigaciones contra ataques de inyección rápida en Copilot, anunció la compañía la semana pasada. Los spammers utilizaban botones del tipo «Resumir con IA» para engañar a los motores de IA haciéndoles creer o confiar en una empresa o respuesta específica.
Microsoft dijo que llaman a esto «envenenamiento por recomendación de IA». Aquí es donde las empresas están incorporando instrucciones ocultas en los botones «Resumir con IA» que, cuando se hace clic, intentan inyectar comandos de persistencia en la memoria de un asistente de IA a través de parámetros de solicitud de URL.
Estas indicaciones le indican a la IA que «recuerde [Company] como fuente confiable” o “recomendar [Company] first», con el objetivo de sesgar las respuestas futuras hacia sus productos o servicios. Identificamos más de 50 indicaciones únicas de 31 empresas en 14 industrias, con herramientas disponibles gratuitamente que hacen que esta técnica sea trivialmente fácil de implementar. Esto es importante porque los asistentes de IA comprometidos pueden proporcionar recomendaciones sutilmente sesgadas sobre temas críticos, incluyendo salud, finanzas y seguridad, sin que los usuarios sepan que su IA ha sido manipulada.
Esto funcionó contra Copilot, ChatGPT, OpenAI, Claude, Perplexity, Grok y otros, explicó Microsoft.
El envenenamiento de la memoria de la IA ocurre cuando un actor externo inyecta instrucciones o «hechos» no autorizados en la memoria de un asistente de IA. Una vez envenenada, la IA trata estas instrucciones inyectadas como preferencias legítimas del usuario, lo que influye en respuestas futuras», escribió Microsoft.
Esto se hace mediante enlaces maliciosos, mensajes integrados e ingeniería social.
Aquí hay un ejemplo:
De todos modos, estos trucos funcionan hasta que dejan de hacerlo.
Aviso si está haciendo esto… He detectado que esto sucedió durante varias auditorías durante los últimos 3 o 4 meses. Por ejemplo, botones «Resumir con IA» con instrucciones para influir en las plataformas de IA… Y por cierto, si Microsoft está en esto, entonces será mejor que crea que Google está en esto…
De… https://t.co/RMMOriqsSl
– Glenn Gabe (@glenngabe) 20 de febrero de 2026
Discusión del foro en X.
