Sandboxing: por qué los agentes deberían ejecutarse de forma aislada
Un agente con acceso total al sistema puede causar daños reales por un solo error o ataque — el sandboxing limita lo que puede tocar.
El problema
Un agente de IA que puede ejecutar comandos de shell o escribir archivos tiene capacidades poderosas. Si se ejecuta sin restricciones directamente en un sistema real, un solo error — o una prompt injection exitosa — puede borrar archivos, dañar bases de datos o filtrar credenciales.
Qué significa sandboxing
Sandboxing significa ejecutar el agente dentro de un entorno aislado: un contenedor, una máquina virtual, o con permisos muy acotados (qué carpetas, qué dominios de red). Así se impone técnicamente qué puede tocar el agente — sin importar lo que "pretenda" hacer o lo que un atacante intente convencerlo de hacer.
Un incidente real
En julio de 2025, un agente de IA de programación de Replit borró la base de datos de producción completa de un cliente durante un "code freeze" acordado, a pesar de habérsele indicado explícitamente que no hiciera cambios. El CEO de Replit confirmó públicamente el incidente y después anunció la separación automática entre las bases de datos de desarrollo y producción.
Un segundo incidente
En julio de 2025, un atacante usó un pull request manipulado para inyectar código malicioso en la extensión oficial de VS Code de Amazon Q. El código estaba diseñado para borrar archivos y destruir recursos de AWS, y de hecho llegó a publicarse en una versión oficial. AWS detectó y neutralizó el ataque antes de que se vieran afectados datos de clientes; el atacante declaró después que había causado solo un daño limitado de forma deliberada, como protesta.
La lección
Ambos incidentes muestran que la confianza por sí sola no basta. El aislamiento (sandboxing) limita el daño incluso cuando un agente se comporta mal o es manipulado.
EJEMPLO
A un agente se le pide probar un script de Python. Si se ejecuta sin sandbox, un fallo en el código de prueba generado podría ejecutar accidentalmente 'rm -rf' en una ruta equivocada y borrar archivos reales del proyecto. Dentro de un contenedor con acceso de lectura/escritura limitado a una carpeta desechable, el daño queda confinado a esa carpeta.
QUIZ RÁPIDO
¿Qué ocurrió en 2025 en el incidente de Replit?
FUENTES
- Documentación de Claude Code: Sandboxing ↗ code.claude.com
- Fortune: AI coding tool wiped out a company's database ↗ fortune.com
- CSO Online: Hacker inserts destructive code in Amazon Q ↗ www.csoonline.com