es.wedoany.com Noticia: El marco de agentes de seguridad NanoClaw ha llegado a un acuerdo de colaboración con la plataforma de gestión de la cadena de suministro de software JFrog, permitiendo que los agentes de IA obtengan recursos de los registros auditados de JFrog.

Gavriel Cohen, cofundador de NanoCo AI, anunció esta colaboración en un evento de JFrog celebrado en San Francisco. Cohen explicó que una de las principales características de la familia de agentes Claw es su capacidad de auto-mejora mediante la obtención de herramientas y recursos de los que carecen.

Cohen señaló que este método funciona bien cuando el acceso a datos locales conocidos requiere un proceso de aprobación manual. Sin embargo, no es ideal para paquetes npm, ya que incluso en agentes aislados y en entornos de pruebas como NanoClaw, el código malicioso dentro del contenedor aún puede llevar a cabo acciones dañinas.

Los desarrolladores pueden no estar familiarizados con un paquete y necesitar tiempo para evaluar completamente su legitimidad y si ha sido manipulado. Por ello, NanoClaw se ha integrado con el registro de JFrog, de modo que cuando los agentes descargan nuevas herramientas y bibliotecas, los recursos provienen de fuentes revisadas, reduciendo así la posibilidad de que los agentes entren en contacto con contenido no confiable.

Cohen también anunció la disponibilidad de la "fábrica de agentes". Este sistema, desarrollado internamente por la empresa, utiliza agentes NanoClaw para procesar solicitudes de extracción (pull requests). Con el auge de los agentes de codificación de IA, el número de solicitudes de extracción se ha disparado, y la fábrica de agentes tiene como objetivo clasificarlas. Cohen señaló que los mantenedores tienen dificultades para distinguir entre contribuciones de alta calidad y aquellas que utilizan métodos automatizados para construir reputación.

La fábrica de agentes está construida con NanoClaw y se aloja en exe.dev, que proporciona máquinas virtuales con almacenamiento persistente. Cuando se abre una solicitud de extracción, la fábrica inicia un agente de trabajo dedicado, publica un hilo en Slack, y los trabajadores clasifican los cambios, revisan las diferencias y proponen un plan de pruebas. Todas las operaciones se activan solo después de que un humano haga clic para aprobar.

Cohen considera que procesar solicitudes de extracción que contienen inyección de indicaciones (prompt injection) o código inseguro conlleva riesgos. Cualquier persona que utilice y configure agentes de IA en un entorno de desarrollo puede ver instrucciones que prohíben la ejecución de acciones peligrosas en archivos de configuración similares a Claude.md. Enfatizó que las instrucciones ayudan a guiar a los agentes para generar resultados valiosos, pero no son un mecanismo de seguridad. La única forma de evitar que un agente realice comportamientos no deseados es prohibirle que realice dicha acción, no simplemente darle instrucciones.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com