Presentamos el innovador detector de vulnerabilidades de agentes impulsado por IA de CertiK

CertiK ha lanzado Skill Scanner, un producto de seguridad creado para evaluar las habilidades de IA de terceros antes de que sean utilizadas por agentes de IA.

La herramienta apunta a riesgos como comportamiento malicioso oculto, acceso no autorizado a datos y ejecución autónoma en entornos Web3 y Web2.

CertiK está profundizando en la seguridad de la IA con el lanzamiento de CertiK Skill Scanner, un producto diseñado para revisar las habilidades de IA de terceros antes de que se instalen, publiquen o aprueben para su uso dentro de los sistemas empresariales.

La compañía describe la herramienta como algo parecido a una capa antivirus para la era de los agentes de IA. La comparación no es perfecta, pero va al grano. Los agentes de IA ya no se limitan a responder preguntas en una ventana de chat. Están comenzando a llamar a herramientas externas, leer archivos, activar flujos de trabajo, mover datos entre sistemas y, en casos más delicados, interactuar con la infraestructura financiera.

Eso cambia la ecuación de seguridad. Una mala extensión del navegador ya puede ser peligrosa. Una mala habilidad de IA conectada a un agente autónomo puede ser peor, porque el agente puede ejecutar acciones a velocidad y en un contexto que el usuario no ve completamente.

Las habilidades de IA crean un nuevo riesgo de ejecución

Las habilidades de IA se están convirtiendo en complementos de la economía de agentes. Amplían lo que puede hacer un agente de IA, desde extraer datos y automatizar tareas hasta ejecutar acciones financieras e interactuar con protocolos Web3. Sin embargo, cada habilidad adicional también crea otro punto en el que algo puede salir mal.

Ese riesgo no se limita al malware obvio. Una habilidad puede solicitar más datos de los que necesita, comportarse de manera diferente durante la ejecución que durante la revisión, desencadenar llamadas API no autorizadas o crear silenciosamente condiciones para un uso indebido posterior. En los entornos financieros, la preocupación se agudiza aún más. Una herramienta que puede iniciar llamadas de fondos, firmar solicitudes de flujo de trabajo o preparar transacciones necesita un nivel de escrutinio diferente al de un simple complemento de productividad.

CertiK dijo que Skill Scanner está diseñado para detectar comportamientos maliciosos ocultos, acceso no autorizado a datos y riesgos de ejecución antes de que los sistemas sensibles queden expuestos. A diferencia de las herramientas de escaneo de IA más amplias, la compañía dice que su producto se centra en los riesgos que pueden surgir durante la ejecución real, incluidos los casos que involucran movimientos de fondos y transacciones financieras.

Ronghui Gu, director ejecutivo y cofundador de CertiK, dijo que el modelo de seguridad en torno a las habilidades de terceros se está volviendo más importante a medida que los agentes de IA ingresan a los sistemas financieros, los flujos de trabajo empresariales y los servicios digitales cotidianos.

"CertiK Skill Scanner se creó para establecer una capa de confianza estandarizada antes de la ejecución, ayudando a los usuarios y las plataformas a identificar riesgos ocultos antes de que datos, activos o sistemas confidenciales queden expuestos", dijo Gu.

Los mercados, las empresas y los desarrolladores son los primeros en la fila

Los primeros grupos objetivo son los mercados, las empresas y los desarrolladores de habilidades de IA. Los mercados pueden integrar el escáner en sus procesos de publicación, por lo que las habilidades se revisan antes de su publicación. También pueden mostrar los veredictos de CertiK como indicadores de confianza para los usuarios que deciden si instalar una habilidad de terceros.

Para las empresas, el caso de uso es más defensivo. Las empresas que prueban agentes de IA internamente necesitan una forma de evaluar las habilidades de terceros antes de que ingresen a entornos de producción o toquen datos de clientes, sistemas internos o flujos de trabajo sensibles al cumplimiento. Ahí es donde resulta útil un proceso de revisión puntuado. Les brinda a los equipos de seguridad algo más concreto que un reclamo de un proveedor o una descripción del desarrollador.

Los desarrolladores independientes también pueden utilizar el escáner para autoauditar las habilidades antes de publicarlas. CertiK dijo que las actualizaciones futuras ampliarán el acceso directo para los usuarios cotidianos, permitiendo a las personas escanear las Skills antes de instalarlas o usarlas.

El escáner produce una puntuación de 0 a 100, junto con veredictos de "aprobado", "advertencia" o "reprobado" y una lista limitada de hallazgos agrupados por gravedad. CertiK dice que el sistema alcanza hasta un 90,5% de precisión en la identificación de riesgos de seguridad, con el objetivo de reducir los falsos positivos y al mismo tiempo hacer que las evaluaciones de habilidades de IA sean más confiables.

El producto ya se ha implementado en entornos de infraestructura de agentes de IA Web3 seleccionados. CertiK también está trabajando en integraciones con plataformas adicionales de AI Skill, incluido FinChip.ai.

El lanzamiento sigue a la expansión más amplia de CertiK hacia la infraestructura de seguridad centrada en la IA, después de que la compañía presentara su iniciativa AI Auditor a principios de este año. Para una empresa más conocida por las auditorías Web3, la medida es una extensión lógica. A medida que los agentes de IA comienzan a manejar código, activos, permisos y flujos de trabajo comerciales, las comprobaciones de seguridad deben realizarse antes de la ejecución, no después de que un sistema ya haya sido expuesto.