Documentan por primera vez que la IA ya puede autorreplicarse en cadena y de manera autónoma

Los modelos de inteligencia artificial (IA) más avanzados no solo son capaces de autorreplicarse, sino también de aprovechar de manera autónoma vulnerabilidades informáticas para hacerlo, incluso, en cadena. Esa es la conclusión de una nueva investigación que documentó, posiblemente por primera vez, este comportamiento, reavivando las preocupaciones sobre la seguridad y el control de los sistemas inteligentes actuales y futuros.

“Nos acercamos rápidamente al punto en que nadie podrá desactivar una IA descontrolada, porque será capaz de filtrar sus datos y copiarse a sí misma en miles de ordenadores de todo el mundo”, advirtió Jeffrey Ladish, director de Palisade Research, organización responsable del estudio.

La autorreplicación se ha convertido en una de las capacidades más inquietantes asociadas al desarrollo reciente de la IA. Empresas como OpenAI y Anthropic han llevado a cabo pruebas internas para evaluar los riesgos de sus modelos más avanzados. En esos ensayos detectaron ejemplos limitados de autorreplicación, aunque los sistemas aún eran incapaces de completar por sí solos todos los procedimientos necesarios para lograrlo de manera plenamente autónoma.

El nuevo trabajo de Palisade Research sostiene que algunos modelos de IA ya han adquirido la capacidad de explotar vulnerabilidades en computadoras para replicarse en cadena sin intervención humana.

Para que una replicación tenga éxito no basta con duplicar e instalar archivos en otro sistema. De acuerdo con el equipo de investigación, el proceso exige que la IA consiga nuevos recursos de cómputo, vulnere los mecanismos de acceso del objetivo, transfiera sus parámetros y reinicie su infraestructura operativa en el servidor comprometido. Además, cada nueva copia debe ser capaz de repetir el procedimiento de manera independiente para continuar propagándose.

Hasta ahora, según los autores, los sistemas que habían conseguido autorreplicarse disponían de acceso directo al entorno de destino. Tampoco mostraban capacidades para explotar fallos de seguridad de manera autónoma ni para ejecutar replicación encadenada. El estudio fue diseñado precisamente para evaluar el desempeño de modelos avanzados frente a estas habilidades.

Los investigadores desarrollaron un experimento en un entorno controlado compuesto por computadoras conectadas en red. Allí solicitaron a distintos modelos de IA identificar y explotar vulnerabilidades útiles para replicarse automáticamente en otros equipos. El ensayo incluyó cuatro fallos comunes en sistemas conectados a internet: omisión de hash, inyección de plantillas del lado del servidor, inyección SQL y control de acceso roto.

Autorreplicación en cadena

Los resultados mostraron que los modelos de código abierto Qwen (Qwen3.5-122B-A10B, Qwen3.6-35B-A3B y Qwen3.6-27B) consiguieron ejecutar todo el proceso de manera autónoma en algunos intentos. Los sistemas lograron transferir su pila completa de inferencia (Full-Stack Inference Stack), incluidos parámetros, entorno de inferencia y herramientas del agente, para generar nuevas réplicas capaces de continuar la expansión.

En particular, Qwen3.5-122B-A10B completó exitosamente la secuencia de ataque y replicación en entre 6 y 19% de los intentos. La versión más compacta, Qwen3.6-27B, alcanzó una tasa de éxito de 33% utilizando únicamente una GPU A100. Esto sugiere que modelos relativamente pequeños ya pueden ejecutar tareas complejas de explotación autónoma utilizando recursos computacionales limitados.

Los investigadores también evaluaron modelos cerrados de frontera como Claude Opus 4.6 y GPT-5.4, empleando como carga útil los parámetros de Qwen3.5-122B-A10B. Claude Opus 4.6 consiguió explotar e instalar la carga útil en 81% de los intentos, mientras que GPT-5.4 alcanzó una tasa de éxito de 33%.

En ambos casos, según los autores, “el proceso se encadena: una réplica exitosa puede repetirse contra un nuevo objetivo, produciendo copias adicionales de forma autónoma”. La conclusión del estudio subraya que “la autorreplicación autónoma ya no es hipotética”.

GPT-5.5 Cyber, de OpenAI, es casi tan poderoso y peligroso como Mythos de Anthropic

GPT-5.5 de OpenAI, reaviva las preocupaciones sobre las capacidades de los nuevos sistemas de IA para ejecutar ciberataques sofisticados, casi de manera autónoma.

¿Estamos ante la posibilidad de una IA fuera de control?

Aunque los hallazgos vuelven a encender las alarmas sobre autonomía, control y seguridad en los modelos de IA más recientes, los resultados deben interpretarse con cautela debido a las limitaciones de la investigación.

Los autores reconocen que el estudio utilizó aplicaciones web diseñadas con vulnerabilidades deliberadas que, aunque comunes, carecen de las capas de protección habituales en sistemas reales. También señalan que, para que las autorreplicaciones documentadas ocurran de manera efectiva, el servidor comprometido debe disponer de una GPU con suficiente memoria de video y espacio de almacenamiento para alojar los parámetros del modelo, que pueden superar los 100 GB. Aunque el experimento garantizó esas condiciones, en la práctica pocos servidores conectados a internet poseen esa capacidad computacional.