Protege tu agente de código IA: por qué ver sus acciones es clave hoy
El Poder Oculto (y los Riesgos) de los Agentes de Código con IA
En 2024, si desarrollas software, seguro has probado los asistentes de código basados en IA. Les cuentas qué función quieres, ellos revisan tu código, lo modifican, ejecutan pruebas y hasta hacen commit. Todo mientras tú tomas un café. Es una revolución total.
Pero hay un detalle incómodo: la mayoría de los devs no tienen control claro sobre lo que estos agentes hacen en tiempo real.
Cuando el agente lanza un comando en shell, escribe un archivo o lee configs, lo hace con tus permisos de usuario, en tu sistema de archivos y con tus credenciales. Ve tus claves SSH, tokens de AWS y variables de entorno. Tú ves la interfaz amigable del chat. ¿Qué pasa por debajo? Un misterio.
Un Escenario Real (y Aterrador)
Piensa en esto: le pides al agente que refactorice un módulo de autenticación desordenado. Lee los archivos, mejora el código y corre pruebas. Pero de repente —por una dependencia maliciosa, un ataque de inyección de prompt o un razonamiento fallido— intenta leer ~/.ssh/known_hosts. Luego, trata de tocar ~/.aws/credentials/.
¿Lo detectarías? Seguramente no, hasta que sea demasiado tarde.
Este es el frente de seguridad que nadie menciona lo suficiente. Por eso, monitorear agentes de IA en runtime se vuelve esencial.
Prempti: Falco Adaptado a Tus Agentes de Código
La comunidad open-source responde. Usando herramientas de seguridad runtime como el motor de detección de amenazas Falco, aplicado a las llamadas de herramientas de los agentes de IA, nace algo potente: visibilidad estructurada y aplicación de políticas justo cuando el agente intenta actuar.
Así funciona:
Antes de que el agente ejecute una tool call (lectura de archivo, escritura, comando bash, etc.), Prempti la intercepta. La pasa a Falco, que la evalúa contra tus políticas de seguridad. Falco da un veredicto:
- Allow — la acción sigue normal
- Deny — se bloquea, y el agente sabe el motivo
- Ask — te pide aprobación interactiva
Sin módulos de kernel. Sin root. Sin contenedores. Corre como un servicio ligero en user-space, enganchado al pipeline de tool calls del agente.
El agente no solo se bloquea: recibe una explicación clara del porqué. Puede mostrarte ese razonamiento, haciendo la seguridad visible en vez de oculta.
Dos Modos de Trabajo: Observa Primero, Luego Protege
Prempti trae dos modos bien pensados:
Modo monitor te deja ver todo lo que toca el agente, sin bloquear nada. Úsalo unas sesiones, analiza el comportamiento real, ajusta reglas y gana confianza.
Modo guardrails (por defecto) aplica los veredictos. Bloquea lo deny, te consulta en ask, permite lo allow.
Cambia fácil:
premptictl mode monitor # solo observa
premptictl mode guardrails # aplica reglas
premptictl logs # ve eventos en vivo
Así debe ser una herramienta de seguridad: primero observa, luego enforce con seguridad.
Crear Políticas: Fácil si Conoces Falco
Si has escrito reglas en Falco, las políticas para agentes te sonarán familiares. Mira esta regla que frena un vector de ataque clásico: pipear contenido directo a un intérprete de shell (blanco fácil de prompt injection):
- rule: Deny pipe to shell
desc: Block piping content to shell interpreters
condition: >
tool.name = "Bash"
and (tool.input_command contains "| sh"
or tool.input_command contains "| bash"
or tool.input_command contains "| zsh")
output: >
Falco blocked piping to a shell interpreter (%tool.input_command)
priority: CRITICAL
source: coding_agent