Perplexity ha publicado un informe técnico que describe cómo ha diseñado las defensas de seguridad de Computer, su agente autónomo capaz de escribir y ejecutar código, navegar por la web y conectar servicios externos para completar tareas en nombre del usuario. El documento sintetiza las medidas aplicadas sobre la infraestructura corporativa existente, desde el aislamiento de ejecución hasta controles administrativos y de gobernanza pensados para entornos empresariales.
La base técnica para la ejecución segura es el aislamiento mediante sandboxes implementados como Firecracker microVM: cada tarea de Computer se ejecuta dentro de una microVM que arranca un kernel Linux dedicado y un modelo de dispositivo mínimo. Ese enfoque reduce la superficie de ataque porque cada sesión dispone de su propio kernel y de un entorno virtualizado con el conjunto mínimo de componentes necesarios para la ejecución, lo que limita las interacciones con la infraestructura subyacente.
Cada sandbox proporciona además un sistema de archivos aislado que se reinicia al terminar la sesión y un espacio de red privado sujeto a reglas de firewall dedicadas; los entornos se suspenden automáticamente cuando están inactivos y se destruyen tras un periodo de inactividad, de modo que cada nueva sesión comienza limpia. Perplexity subraya que solo se inyectan en esos entornos las credenciales estrictamente necesarias para completar la tarea y que dichas credenciales se eliminan junto con el sandbox.
Para reducir la exposición de credenciales y claves, los subagentes no reciben claves API crudas: en su lugar usan tokens proxy de corta duración gestionados mediante una pasarela autenticada. La arquitectura separa el almacenamiento de datos de la ejecución mediante VPCs en la nube, y toda la comunicación entre almacenamiento y ejecución se realiza sobre HTTPS cifrado, lo que minimiza la posibilidad de exfiltración directa entre ambos planos.
En cuanto a integraciones con servicios externos, las integraciones incorporadas como Google y Microsoft emplean los flujos de autenticación del propio proveedor, y los conectores remotos personalizados soportan OAuth 2.0 o autenticación con claves API gestionadas por la empresa. Todos los conectores están diseñados para transmitir únicamente los datos mínimos necesarios; además, el sistema obliga a que los conectores remotos usen HTTPS. Los archivos se cifran en tránsito y en reposo, los archivos subidos se borran pasados siete días y Perplexity indica explícitamente que los datos empresariales no se usan para entrenar modelos.
Para mitigar ataques de prompt injection, Computer hereda y extiende las defensas previas de la compañía. El informe describe una arquitectura de múltiples capas y la inclusión de BrowseSafe, un modelo de detección de código abierto para agentes que navegan. Estos mecanismos fueron auditados por Trail of Bits y operan junto a clasificadores de aprendizaje automático que analizan en paralelo el contenido recuperado antes de que el agente actúe, provocando una detención segura si se detecta contenido sospechoso.
Además de la clasificación automática, cada herramienta incorpora guardrails explícitos en su prompt de sistema: el contenido externo se etiqueta como no confiable y el agente mantiene una referencia continua a la consulta original del usuario al seleccionar y ejecutar herramientas. El informe señala que Computer aplica un manejo de prompts más estricto y protecciones a nivel de modelo cuando procesa contenido marcado como no confiable, reduciendo la probabilidad de que entradas maliciosas alteren su conducta.
En el ámbito empresarial, Perplexity añade controles de gobernanza y auditoría. Los registros capturan eventos clave — consultas de usuario, acciones del agente, accesos a archivos y uso de conectores— y pueden integrarse con SIEMs como Splunk, Azure Sentinel y Datadog. Los administradores tienen opciones para desactivar Computer por completo, limitar su uso a miembros específicos y activar o desactivar conectores a nivel organizacional. La plataforma permite también restringir qué modelos están permitidos y gestionar el consumo y la facturación: existen límites por asiento, la posibilidad de modificar asignaciones individuales, umbrales para recarga automática y límites mensuales, así como la opción explícita de no añadir créditos más allá de la asignación incluida. Estas capacidades buscan dar control operativo y financiero a las organizaciones que adopten Computer.
Perplexity remite a su Trust Center y a la documentación de Computer for Enterprise para los detalles operativos y las guías de gobernanza. El informe técnico expone las decisiones de diseño y las medidas aplicadas, con el objetivo de ofrecer un equilibrio entre capacidad funcional del agente y controles de seguridad y cumplimiento para clientes empresariales.
Fuentes
Respuestas (0)
Aún no hay respuestas en este tema.
