Diseño

Por qué gana el Fail-closed

«Fail-closed» significa: cuando un sistema no está seguro, deniega — en lugar de dejar pasar ante la duda. Con agentes de IA autónomos, esa es la diferencia entre un ataque repelido y uno logrado.

~4 min de lectura · Diseño

Fail-open vs. Fail-closed

Todo sistema de protección debe decidir qué hace cuando no está seguro. Hay dos posturas:

Fail-open: dejar pasar ante la duda. Cómodo, nunca estorba — pero cada hueco en el juicio se convierte en una puerta abierta.
Fail-closed: bloquear o preguntar ante la duda. A veces incómodo — pero un caso poco claro nunca se convierte en daño en silencio.

En una cerradura, la elección es obvia: un sistema de cierre que se abre solo cuando se va la luz no es ninguna protección. Con agentes de IA, esa misma lógica se olvida a menudo.

Un agente actúa de forma autónoma y repetida. Un único «recuerdo» mal dejado pasar no actúa una vez, sino en cada decisión futura.

Por qué precisamente los agentes necesitan Fail-closed

Persistencia: lo que entra una vez en los Memory Files se queda. Un fallo fail-open no es fugaz, sedimenta.
Autonomía: nadie mira en cada acción. El valor por defecto seguro debe estar integrado, no depender de la vigilancia humana.
Ambigüedad: las entradas dañinas parecen legítimas. Un modelo a menudo estará «más bien inseguro» — y justo entonces no se debe dejar pasar.

Cómo aplica PoisonZero el Fail-closed

PoisonZero evalúa cada cambio con dos números: un grado de peligro (0–1) y una confianza (0–1, qué tan fiable es el juicio). De ahí surge una lógica clara y conservadora:

# Lógica de decisión (simplificada)
Peligro ≥ Umbral de bloqueo        → revert
Peligro ≤ Umbral seguro
   Y Confianza ≥ mínimo            → allow
si no (todo lo incierto entremedio) → ask_user

El punto decisivo es la última línea: lo que no se juzga claramente inofensivo y suficientemente seguro no se deja pasar. Se revierte o te lo presenta. Tú fijas los umbrales por agente — explicados con claridad, con deslizadores en vez de archivos de configuración.

El precio y por qué merece la pena

Fail-closed significa, de vez en cuando, una pregunta que a posteriori resulta innecesaria. Ese es el precio. Frente a él está una entrada envenenada que, sin que nadie lo note, distorsiona cada decisión futura. Esa asimetría — una pequeña incomodidad visible frente a un gran daño invisible — es la razón entera por la que gana el Fail-closed.

Seguro por defecto.

PoisonZero elige el lado seguro ante la duda — y te deja trazar tú mismo el límite.

Probar 14 días

Seguir leyendo: ¿Qué es el Memory Poisoning? · Agentes de IA en la pipeline de CI/CD · Poisoned Pipeline Execution

Todos los artículos