1) El hecho Un investigador de seguridad del Reino Unido demostró que es posible envenenar un modelo de IA de peso abierto con una puerta trasera funcional por menos de 100 dólares. El experimento, reportado por The Register, expone una vulnerabilidad crítica en la cadena de suministro de modelos de IA: cualquiera con recursos mínimos puede manipular un modelo y redistribuirlo a usuarios desprevenidos.
2) Contexto El envenenamiento de modelos no es nuevo en teoría, pero una demostración práctica por menos de 100$ (£75) cambia el nivel de urgencia. Los modelos open-weight se descargan de Hugging Face y otros repositorios por miles de desarrolladores y empresas cada día. La confianza en la procedencia de los pesos se basa casi enteramente en la reputación de la fuente y checksums — mecanismos que un atacante determinado puede eludir.
El experimento inserta una puerta trasera que hace que el modelo se comporte normalmente en la mayoría de las consultas pero ejecute acciones maliciosas cuando se activan desencadenantes específicos — el equivalente digital de envenenar la comida antes de que llegue al estante.
3) Análisis El coste es el dato más alarmante. menos de 100$ — el precio de unos meses de una cuenta básica de API de OpenAI — un actor malicioso puede comprometer la cadena de suministro de IA. El impacto potencial es enorme: los modelos backdoorados pueden integrarse en aplicaciones empresariales, herramientas de código abierto y dispositivos de borde sin detección.
La vulnerabilidad no está en el algoritmo, sino en el proceso. El ecosistema open-weight creció apostando por la transparencia como garantía de seguridad, pero la transparencia del código no protege contra la manipulación de los pesos descargados. Hasta que la verificación criptográfica sea obligatoria en cada descarga, el riesgo persiste.
La demostración también ilumina un dilema: la misma apertura que democratiza el acceso a modelos punteros también democratiza el vector de ataque. Soluciones como la firma de modelos, los registros de integridad en blockchain y la verificación respaldada por hardware ganan nueva urgencia.
4) Qué observar - Respuesta de Hugging Face: ¿la plataforma central de distribución de modelos implementará verificación de integridad obligatoria? - Adopción de firma digital de modelos: empresas como Meta y Mistral que distribuyen modelos abiertos pueden adoptar prácticas de cadena de suministro de software (SLSA, SBOM). - Reacción regulatoria: la EU AI Act puede exigir atestación de integridad de la cadena de suministro para modelos de alto riesgo.
Fuente: The Register