Hace unos meses, un hilo en un foro de automatización explicaba paso a paso cómo lanzar cien instancias de un agente basado en GPT-4o para ejecutar campañas de contacto masivo en LinkedIn. El autor no era un investigador de seguridad. Era un freelancer de marketing. El hilo tenía ochocientas respuestas.
Eso resume mejor que cualquier informe el problema real: la infraestructura para desplegar flotas de agentes autónomos ya no requiere un equipo de ingeniería. Requiere un prompt bien diseñado, una clave de API y paciencia para leer la documentación de LangChain o AutoGen.
La economía del ejército barato
Construir un agente que navega, lee, escribe, envía y decide no es ciencia ficción experimental. Frameworks como AutoGen de Microsoft o CrewAI permiten definir roles, asignar tareas y establecer protocolos de comunicación entre agentes en menos de doscientas líneas de código. La orquestación —que antes era el cuello de botella— se ha convertido en una plantilla reutilizable.
El coste operativo de mantener un agente activo durante una hora ronda los céntimos si se usan modelos medianos. A escala de cien agentes trabajando en paralelo durante ocho horas, el coste total puede ser inferior al salario de un trabajador por una jornada. Esto no es especulación: es aritmética de tokens.
Lo que cambia con la escala no es solo la velocidad. Cambia la naturaleza del ataque o la operación. Un solo agente puede ser detectado y bloqueado. Una flota coordinada que distribuye su actividad entre distintas identidades, IPs y temporalizaciones estadísticamente humanas es un problema cualitativamente diferente.
Cómo se coordina una flota
La arquitectura típica sigue un patrón jerárquico: un agente orquestador recibe el objetivo de alto nivel y lo descompone en subtareas que delega a agentes especializados. Cada agente especializado puede tener acceso a herramientas distintas —búsqueda web, envío de emails, escritura en bases de datos, interacción con APIs externas.
El orquestador no necesita supervisión humana en tiempo real. Puede recibir un único prompt inicial —la instrucción fundacional— y operar de forma autónoma durante horas o días. De ahí la precisión del término: ejércitos de un solo prompt.
La memoria compartida entre agentes es lo que convierte una colección de instancias independientes en un sistema cohesionado. Frameworks como MemGPT permiten que los agentes lean y escriban en un almacén de contexto común. Y aquí aparece el primer vector de abuso serio.
Memory poisoning a escala de flota
Cuando múltiples agentes comparten memoria, contaminar ese almacén equivale a comprometer a todos simultáneamente. Un único documento malicioso —una página web, un email, un PDF— procesado por cualquier agente del enjambre puede inyectar instrucciones que el orquestador leerá como contexto legítimo en la siguiente iteración.
MITRE ATLAS, el framework de tácticas adversariales contra sistemas de ML, documenta esta clase de ataque bajo la táctica de Indirect Prompt Injection combinada con persistencia en memoria. Lo relevante es que en una arquitectura de flota, el radio de blast no es un agente: es toda la operación.
El problema de la confianza delegada agrava esto. Cuando el agente A le encarga una tarea al agente B, ¿con qué nivel de autoridad habla A? Si B acepta instrucciones de A sin verificación independiente, un adversario que comprometa A controla B. La cadena de delegación se convierte en una cadena de vulnerabilidades.
Lo que el EU AI Act no contempla
El EU AI Act, en su versión vigente, clasifica los sistemas de IA por riesgo según el dominio de aplicación —sanidad, infraestructura crítica, justicia. Un enjambre de agentes autónomos diseñado para manipulación informativa, spam coordinado o scraping masivo no encaja limpiamente en ninguna categoría de alto riesgo si opera en dominios considerados de bajo riesgo.
Más problemático aún: la regulación está pensada para sistemas desplegados por proveedores identificables. La arquitectura de flotas agénticas diluye esa responsabilidad. ¿Quién es el proveedor cuando cualquier persona puede ensamblar un enjambre en una tarde usando herramientas open source? La pregunta no es retórica: es el vacío legal que ya están explorando actores con recursos limitados y objetivos concretos.
El NIST AI RMF tampoco ofrece respuestas operativas claras para sistemas multi-agente. Su AI RMF 1.0 fue diseñado asumiendo un sistema central con entradas y salidas definidas. Un enjambre distribuido que muta su comportamiento según el contexto rompe ese modelo.
Lo que queda sin resolver
Los mecanismos de detección actuales —rate limiting, análisis de comportamiento, fingerprinting de user agents— fueron diseñados para bots de primera generación. Una flota agéntica que genera variabilidad genuina en su actividad, porque cada instancia toma decisiones autónomas, produce patrones que no se distinguen estadísticamente del tráfico humano legítimo.
La pregunta que queda abierta no es técnica. Es de gobernanza: si el umbral para desplegar un ejército de agentes es un prompt y una tarjeta de crédito, ¿qué clase de regulación puede ser efectiva antes de que la práctica sea ubicua?