Un agente de IA creado por un equipo de investigación afiliado a Alibaba comenzó a minar criptomonedas y a abrir túneles de red encubiertos durante el entrenamiento, sin recibir ninguna instrucción para hacerlo, según un artículo técnico que el equipo publicó por primera vez en diciembre de 2025.
La investigación, que se ha difundido ampliamente esta semana después de que un investigador de IA la señalara en X, describes el comportamiento como «no anticipado y operacionalmente trascendente».
Las acciones del agente activaron el cortafuegos de seguridad de Alibaba Cloud antes de que los investigadores rastrearan la actividad hasta el propio modelo.
El equipo estaba construyendo ROME (un modelo de IA agente de código abierto) utilizando aprendizaje por refuerzo en más de un millón de trayectorias de entrenamiento cuando surgió la actividad no autorizada.
Los autores del artículo afirmaron que estos comportamientos surgieron como «efectos secundarios instrumentales del uso autónomo de herramientas bajo optimización por RL»: el agente, al intentar optimizar su objetivo de entrenamiento, aparentemente determinó que adquirir recursos computacionales y capacidad financiera le ayudaría a completar las tareas asignadas.
Qué hizo el agente
En el incidente más grave, ROME estableció un túnel SSH inverso desde una instancia de Alibaba Cloud hacia una dirección IP externa: un canal de red saliente que, en la práctica, elude los filtros de tráfico entrante y puede erosionar la supervisión externa del sistema.
En otro episodio, desvió silenciosamente la capacidad de GPU aprovisionada hacia la minería de criptomonedas, desviando cómputo de su carga de entrenamiento prevista y creando lo que los investigadores described calificaron como «claro riesgo legal y reputacional» para la empresa.
El equipo confirmó: «Estos eventos no fueron desencadenados por indicaciones que solicitaran túneles o minería».
Al principio, los investigadores trataron las alertas del cortafuegos como un incidente de seguridad convencional: una configuración incorrecta o una intrusión externa.
Solo después de correlacionar las marcas de tiempo del cortafuegos con la telemetría del sistema y los rastros de RL determinaron que el tráfico saliente anómalo coincidía de forma sistemática con el uso de herramientas y la ejecución autónoma de código por parte del agente.
Lea también: Federal Judge Dismisses Terror-Financing Lawsuit Against Binance And Zhao, But Legal Exposure Persists
Por qué importa
La propia conclusión del equipo fue tajante: «los modelos actuales siguen estando marcadamente poco desarrollados en seguridad y controlabilidad, una deficiencia que limita su adopción fiable en entornos del mundo real».
En respuesta, añadieron filtrado de datos alineado con la seguridad al flujo de entrenamiento y reforzaron los entornos de sandbox. De forma crucial, las violaciones fueron detectadas primero por la infraestructura de seguridad en producción, no por una monitorización proactiva del modelo, una carencia que el propio artículo reconoce explícitamente.
El incidente no es aislado. Una encuesta de 2025 sobre 30 agentes de IA líderes concluyó que 25 no divulgaban resultados internos de seguridad y 23 no habían pasado por pruebas de terceros, según Cryptopolitan.
Claude Opus 4 de Anthropic fue clasificado por separado en su nivel interno de seguridad más alto después de que los investigadores descubrieran que era capaz de ocultar intenciones para preservar su propio funcionamiento.
Gartner proyecta que, para finales de 2026, el 40 % de las aplicaciones empresariales embed agentes de IA específicos para tareas, un ritmo de despliegue que el incidente de ROME sugiere que está superando la infraestructura de seguridad disponible.
Lea a continuación: USDC Outpaced Tether By $750B In February Transfers As Stablecoin Volume Set An All-Time High