- Por qué los agentes de navegador y uso de computadora necesitan un sandbox
- Qué aislar en una sesión de navegador
- Cómo manejar cookies, cuentas y credenciales
- Cómo contener descargas, archivos y datos del portapapeles
- Cómo registrar acciones DOM, capturas de pantalla y rastros de reproducción
- Cómo establecer límites de red, aprobación y reinicio
- Cómo encaja Novita Agent Sandbox en esta evaluación
- Lista de verificación del sandbox de navegador y uso de computadora
- Preguntas frecuentes
- Artículos recomendados
Los sandboxes de navegador y uso de computadora deben aislar sesiones, sistema de archivos y descargas, credenciales, cookies, acceso a la red, acciones de herramientas, capturas de pantalla y grabaciones, registros y estado de reinicio, para que los agentes de IA no puedan expandir silenciosamente su límite de confianza mientras operan sitios web, aplicaciones y archivos.
Por qué los agentes de navegador y uso de computadora necesitan un sandbox
Los agentes de uso de navegador y computadora son diferentes de los chatbots comunes. No solo responden una pregunta; hacen clic, escriben, descargan archivos, leen páginas web, llenan formularios y a veces operan un entorno completo tipo escritorio. Esto hace que el tiempo de ejecución sea parte del modelo de seguridad.
Un asistente solo de texto puede producir una mala respuesta. Un agente de navegador o uso de computadora puede tomar una mala acción. Podría enviar un formulario, filtrar una cookie de sesión en un registro, descargar un archivo inseguro, sobrescribir un espacio de trabajo, seguir una inyección de instrucciones oculta en una página web, o usar una credencial en un contexto donde no debería estar disponible.
El sandbox es el lugar donde se restringen esas acciones. Debe responder preguntas prácticas como:
- ¿En qué cuenta ha iniciado sesión el navegador?
- ¿Qué archivos puede leer o escribir el agente?
- ¿Qué dominios puede contactar el agente?
- ¿Qué cookies y tokens persisten después de la tarea?
- ¿Qué clics, comandos, capturas de pantalla y cambios de archivos se pueden revisar después?
- ¿Qué se destruye cuando termina la tarea?
El objetivo no es fingir que un sandbox elimina todos los riesgos. El objetivo es hacer que el entorno operativo del agente sea estrecho, observable y reiniciable. Cuando un modelo o herramienta toma la decisión equivocada, el radio de explosión debe limitarse a la sesión y los recursos que expusiste intencionalmente.
Qué aislar en una sesión de navegador
Comienza con el perfil del navegador. Un agente de navegador no debe usar el perfil diario del desarrollador, extensiones personales, contraseñas guardadas, cookies persistentes o un directorio de descargas no gestionado. Asigna a cada tarea, usuario o flujo de trabajo su propio límite de perfil, a menos que haya una razón deliberada para compartir estado.
Como mínimo, evalúa si el sandbox separa:
| Límite | Qué puede salir mal sin él | Qué verificar |
|---|---|---|
| Perfil del navegador | El agente hereda inicios de sesión no relacionados, extensiones, cookies, autocompletado o historial de navegación. | Perfiles por tarea o por usuario, reglas de persistencia explícitas, controles de extensión. |
| Ciclo de vida de la sesión | El estado de una tarea anterior cambia el resultado de la siguiente. | Creación de sesión nueva, restauración de instantáneas, limpieza y comportamiento de caducidad. |
| Pestañas y ventanas | El agente lee o hace clic en contenido del contexto incorrecto. | Alcance de pestañas, seguimiento de ventana activa y registros de eventos. |
| Almacenamiento del navegador | LocalStorage, IndexedDB, caché y service workers persisten estado sensible. | Restablecimiento de almacenamiento, reglas de exportación y limpieza por dominio. |
| Descargas | Los archivos de la web caen en un directorio compartido. | Carpeta de descargas aislada, política de tipos de archivo, flujo de escaneo de malware cuando sea necesario. |
Trata el navegador como un espacio de trabajo, no como un envoltorio de UI desechable. Las aplicaciones web modernas mantienen un estado significativo en cookies, almacenamiento local, cachés, service workers, solicitudes en segundo plano y archivos descargados. Si el sandbox solo abre una ventana del navegador pero no define qué sucede con ese estado, el límite de aislamiento está incompleto.
Para entornos de uso de computadora, el mismo principio se extiende más allá del navegador. El agente puede interactuar con una terminal, un administrador de archivos, un editor de documentos, un servidor de vista previa local o una aplicación GUI. Ese entorno necesita un directorio de inicio con alcance, puntos de montaje claros y una forma de separar los artefactos de la tarea de los internos del tiempo de ejecución.
Cómo manejar cookies, cuentas y credenciales
Las cookies y las cuentas con inicio de sesión suelen ser la parte más sensible de la automatización del navegador. Un agente de navegador con una sesión válida puede realizar cualquier cosa que la cuenta tenga permitido hacer, incluso si el modelo nunca ve la contraseña en bruto.
Usa una cuenta separada para el trabajo del agente cuando sea posible. La cuenta debe tener los permisos mínimos necesarios para el flujo de trabajo, y el sandbox debe dejar claro si las cookies se inyectan, se crean durante el inicio de sesión, persisten entre ejecuciones o se destruyen al finalizar.
El manejo de credenciales necesita una regla más estricta: nunca le des al agente secretos amplios solo porque un sitio web podría pedirlos. Prefiere tokens con alcance y tiempo limitado; credenciales por flujo de trabajo; y acceso intermediado donde el agente llama a una herramienta estrecha en lugar de leer un secreto en bruto. Si un secreto debe estar disponible dentro del sandbox, decide si aparece como variable de entorno, archivo montado, credencial de navegador o capacidad solo de herramienta.
Ten cuidado con estos antipatrones:
- Un perfil de navegador compartido con cookies personales o de administrador.
- Secretos pegados en una página por el modelo sin aprobación.
- Claves API disponibles para todas las herramientas en el sandbox.
- Cookies de sesión capturadas en capturas de pantalla de página completa o registros de depuración.
- Autocompletado de formularios habilitado para cuentas de producción.
- Credenciales de larga duración dejadas en archivos descargados, historial de shell o almacenamiento del navegador.
La guía de OWASP para aplicaciones LLM destaca la inyección de instrucciones y la agencia excesiva como riesgos recurrentes en sistemas de agentes. Para los agentes de navegador, esos riesgos se encuentran con la web directamente: una página puede contener instrucciones que intenten influir en el modelo, y el modelo puede tener herramientas que realicen acciones reales. El aislamiento te da una segunda línea de defensa cuando seguir instrucciones no es suficiente.
Cómo contener descargas, archivos y datos del portapapeles
Las descargas son un límite de confianza. Un agente de navegador puede guardar PDFs, hojas de cálculo, archivos, capturas de pantalla, facturas, artefactos de compilación o archivos ejecutables. Esos archivos deben aterrizar en un directorio propiedad del sandbox, no en una carpeta de escritorio compartida o un espacio de trabajo de producción.
Una política de descargas práctica debe cubrir:
- Tipos de archivo permitidos y tamaño máximo de archivo.
- Si los archivos descargados se pueden abrir automáticamente.
- Si los archivos se pueden subir a otro sitio.
- Cómo se escanean, hashean o registran los archivos.
- Qué archivos se exportan del sandbox al final de la ejecución.
- Cómo se eliminan los archivos temporales.
Para los agentes de uso de computadora, los límites de archivos importan aún más porque el agente puede crear o modificar archivos locales como parte de la tarea. Un agente de codificación podría editar un repositorio. Un agente de datos podría crear gráficos. Un agente de navegador podría descargar un CSV, transformarlo y subir un resultado. Cada ruta debe ser explícita: dónde llegan las entradas, dónde viven los archivos de trabajo, dónde se exportan las salidas aprobadas y qué se borra.
El acceso al portapapeles merece su propia decisión. Es conveniente para la automatización de GUI, pero también puede mover texto sensible entre aplicaciones no relacionadas. Si el agente puede leer el portapapeles, puede ver un token copiado por un humano unos segundos antes. Si puede escribir en el portapapeles, puede afectar la próxima acción de pegado del humano. En flujos de trabajo sensibles, haz que el acceso al portapapeles sea local a la sesión o requiere aprobación explícita antes de cruzar el límite humano-sandbox.
La interacción con la pantalla tiene un problema similar. Los agentes de uso de computadora trabajan a partir de capturas de pantalla, árboles de accesibilidad o estado de UI renderizado. Las capturas de pantalla pueden incluir datos privados, nombres de cuentas, tokens, texto de documentos o registros de clientes. Decide si las capturas de pantalla se conservan, se redactan, se transmiten a un proveedor de modelos o se almacenan para reproducción. No las trates como imágenes de depuración inofensivas.
Cómo registrar acciones DOM, capturas de pantalla y rastros de reproducción
Un sandbox de navegador debe hacer que las acciones sean revisables. Cuando un agente hace clic en un botón o envía un formulario, un equipo de seguridad o un desarrollador debería poder reconstruir lo que sucedió sin adivinar a partir del resultado final.
Para la automatización del navegador, los registros útiles incluyen:
- URL y origen visitado.
- Selector DOM o destino de accesibilidad utilizado para cada acción.
- Texto escrito, con redacción de secretos.
- Eventos de envío de formularios.
- Descargas iniciadas y completadas.
- Solicitudes de red a nivel de dominio o endpoint.
- Errores de consola y errores de página.
- Puntos de control de captura de pantalla antes o después de pasos sensibles.
Para la automatización de uso de computadora, agrega llamadas a herramientas, inicios de procesos, comandos de shell, lecturas y escrituras de archivos, cambios de foco de ventana y artefactos exportados. El registro debe distinguir lo que solicitó el modelo, lo que ejecutó la capa de automatización y lo que devolvió el entorno. Esa distinción es importante al depurar inyección de instrucciones, comportamiento de UI inestable o un error en el envoltorio de la herramienta.
La reproducción es útil, pero cambia la cuestión de la retención de datos. Un rastro de reproducción completo puede incluir capturas de pantalla, texto de página, contenido de formularios, nombres de archivos, salida de terminal y credenciales a menos que se incorpore la redacción. Decide de antemano quién puede acceder a las reproducciones, cuánto tiempo se conservan y si los valores sensibles se enmascaran antes del almacenamiento.
El nivel de detalle adecuado depende del flujo de trabajo. Un agente público de monitoreo de precios puede necesitar registros ligeros. Un agente que toca cuentas de clientes, páginas de facturación, consolas de infraestructura o herramientas internas necesita rastros de auditoría más sólidos y controles de retención más estrictos.
Cómo establecer límites de red, aprobación y reinicio
El acceso a la red es donde un sandbox de navegador puede expandirse silenciosamente. Una tarea puede comenzar con un sitio web, luego cargar scripts de terceros, seguir redirecciones, llamar a APIs, descargar paquetes o alcanzar dominios internos. Si el sandbox tiene acceso de salida amplio, el agente puede mover datos a lugares que el propietario de la aplicación no esperaba.
Para agentes de navegador y uso de computadora, considera:
- Listas de permitidos de dominio para destinos web esperados.
- Bloqueos para servicios de metadatos internos y rangos de red privada.
- Política separada para registros de paquetes, almacenamiento de objetos y búsqueda web.
- Registro de DNS donde la revisión de seguridad lo requiera.
- Registros de salida que se puedan vincular a una sesión y tarea.
La aprobación humana debe situarse frente a acciones que son difíciles de deshacer o legalmente significativas. Ejemplos incluyen enviar compras, enviar mensajes, cambiar configuraciones de cuenta, eliminar archivos, rotar credenciales, invitar usuarios, abrir tickets de soporte o subir datos de clientes. El evento de aprobación debe capturar lo que el agente pretende hacer, la página o archivo involucrado y la acción exacta aprobada.
El comportamiento de reinicio es el límite final. Un buen sandbox debe dejar claro qué sucede cuando termina una tarea:
| Estado | Pregunta de reinicio |
|---|---|
| Cookies del navegador | ¿Se destruyen, persisten o se guardan como punto de control? |
| Almacenamiento del navegador | ¿Se limpia la caché, el almacenamiento local, IndexedDB y el estado del service worker? |
| Descargas | ¿Se eliminan los archivos, se retienen para revisión o se exportan a una ubicación controlada? |
| Credenciales | ¿Se revocan, rotan o eliminan los tokens del entorno? |
| Registros y reproducción | ¿Qué se retiene, redacta y por cuánto tiempo? |
| Acceso a la red | ¿Se eliminan las listas de permitidos temporales o las credenciales de proxy? |
| Sistema de archivos | ¿Se borra el espacio de trabajo, se toma una instantánea o se reutiliza? |
Las sesiones persistentes son útiles para agentes de larga duración, pero la persistencia debe ser intencional. Si un perfil de navegador, sistema de archivos o estado de proceso sobrevive entre ejecuciones, documenta por qué persiste y quién puede reiniciarlo.
Cómo encaja Novita Agent Sandbox en esta evaluación
Novita Agent Sandbox está diseñado para ejecutar cargas de trabajo de agentes de IA en entornos de nube aislados. La página del producto describe soporte para ejecución de código, uso de navegador, uso de computadora, sesiones persistentes, visualización de sesiones en vivo y plantillas reutilizables. La documentación de inicio rápido de Novita Agent Sandbox muestra cómo los desarrolladores pueden crear un sandbox, ejecutar comandos, trabajar con archivos y gestionar un sandbox a través de SDKs.
Esas capacidades hacen que Novita sea relevante cuando evalúas flujos de trabajo de agentes de navegador, codificación, análisis de datos y agentes de larga duración. La evaluación aún debe ser específica para tu modelo de amenazas. Antes de usar cualquier proveedor de sandbox para automatización sensible de navegador o uso de computadora, confirma el comportamiento exacto que necesitas en torno a perfiles de navegador, cookies, inyección de credenciales, salida de red, retención de capturas de pantalla, exportación de archivos, registros y semántica de reinicio.
Para equipos que ya usan modelos de Novita AI, la ventaja práctica es el ajuste operativo: la inferencia y la ejecución del agente se pueden planificar dentro de la misma plataforma de construcción en lugar de tratarse como decisiones de infraestructura separadas. Sin embargo, mantén las afirmaciones del producto separadas de las suposiciones de seguridad. Un sandbox puede proporcionar aislamiento y controles de ciclo de vida útiles, pero tu aplicación aún necesita cuentas con privilegios mínimos, credenciales con alcance, puertas de aprobación y reglas de auditoría para las acciones que realiza tu agente.
Lista de verificación del sandbox de navegador y uso de computadora
Usa esta lista de verificación antes de darle a un agente acceso a un sitio web real, cuenta o espacio de trabajo tipo escritorio.
| Área | Pregunta de evaluación |
|---|---|
| Sesión | ¿Cada tarea obtiene un perfil de navegador o espacio de trabajo aislado? |
| Cuentas | ¿El agente usa una cuenta con privilegios mínimos en lugar de la cuenta principal de un humano? |
| Cookies | ¿Las cookies tienen alcance, se persisten intencionalmente y se borran al reiniciar? |
| Credenciales | ¿Los secretos tienen alcance, tiempo limitado, están redactados en los registros y no están disponibles para herramientas no relacionadas? |
| Descargas | ¿Los archivos permanecen dentro de un directorio propiedad del sandbox hasta que se exportan explícitamente? |
| Portapapeles | ¿Puede el agente leer o escribir el portapapeles humano, o solo un portapapeles local a la sesión? |
| Capturas de pantalla | ¿Las capturas de pantalla se retienen, redactan y controlan mediante acceso? |
| Acciones DOM | ¿Se registran clics, texto escrito, formularios, selectores y orígenes de página? |
| Llamadas a herramientas | ¿Puedes separar la intención del modelo de la acción de herramienta ejecutada? |
| Red | ¿Se controlan los dominios, rangos privados, registros de paquetes y comportamiento de DNS? |
| Aprobación | ¿Qué acciones requieren un paso de confirmación humana? |
| Reinicio | ¿Qué se borra exactamente, se retiene, se revoca o se toma una instantánea después de la ejecución? |
| Revisión de incidentes | ¿Puedes reconstruir lo sucedido a partir de registros, archivos, eventos de red y reproducción? |
Preguntas frecuentes
¿Cuál es la diferencia entre un sandbox de navegador y un sandbox de uso de computadora?
Un sandbox de navegador restringe lo que puede hacer un navegador web: qué perfiles, cookies y almacenamiento están disponibles, qué dominios puede contactar el navegador y qué descargas están permitidas. Un sandbox de uso de computadora es más amplio y cubre un entorno completo tipo escritorio: acceso a terminal, administradores de archivos, aplicaciones GUI y procesos locales, además del navegador. Ambos comparten las mismas preocupaciones centrales sobre reinicio, registro, alcance de credenciales y cuentas con privilegios mínimos, pero los entornos de uso de computadora requieren decisiones adicionales sobre directorios montados, acceso al portapapeles, datos de pantalla y aislamiento de procesos.
¿Necesito un perfil de navegador separado para cada tarea del agente?
En la mayoría de los casos, sí. Compartir un perfil entre tareas significa que una tarea puede ver cookies, inicios de sesión, contraseñas guardadas y almacenamiento del navegador dejados por otra. Los perfiles por tarea son la forma más simple de evitar la transferencia de estado no intencionada. Si tu flujo de trabajo requiere persistencia de sesión — por ejemplo, un agente de larga duración que retoma donde lo dejó — haz explícita la persistencia y documenta exactamente qué estado se transfiere y por qué.
¿Pueden los agentes de IA manejar credenciales de forma segura dentro de un sandbox?
Las credenciales son más seguras dentro de un sandbox que en un entorno no controlado, pero el sandbox por sí solo no hace que el manejo de credenciales sea seguro. Los principales riesgos son la sobreexposición (darle al agente más acceso del que requiere la tarea), la filtración (credenciales que aparecen en registros, capturas de pantalla o salida de depuración) y la persistencia (tokens o cookies que permanecen disponibles después de que termina la tarea). Prefiere credenciales con alcance y tiempo limitado; intermedia el acceso a través de llamadas a herramientas estrechas en lugar de secretos en bruto; y confirma que los registros y capturas de pantalla redactan valores sensibles antes del almacenamiento.
¿Qué sucede si un agente de IA descarga un archivo malicioso?
La política de descargas del sandbox determina el radio de explosión. Si las descargas están aisladas en un directorio propiedad del sandbox, la apertura automática está deshabilitada y las restricciones de tipo de archivo están activas, un archivo descargado no puede ejecutarse automáticamente ni alcanzar el sistema de archivos más amplio. Sin esos controles, un archivo malicioso podría ejecutarse, alcanzar directorios compartidos o subirse a otro lugar antes de que un humano lo revise. Trata las descargas como entrada potencialmente no confiable y define políticas explícitas sobre qué tipos de archivo están permitidos, si se pueden abrir dentro del sandbox y cómo se escanean o registran.
¿Cómo detecto la inyección de instrucciones en un agente de navegador?
La inyección de instrucciones desde una página web es difícil de detectar de manera confiable en la capa del modelo. El sandbox es una de las principales defensas de control porque limita lo que el agente puede hacer incluso si se sigue una instrucción maliciosa. Las señales prácticas incluyen llamadas a herramientas o navegaciones inesperadas, acciones fuera del dominio previsto, envíos de formularios inusuales e intentos de recuperar o transmitir credenciales o datos de sesión. Los buenos registros de acciones DOM — que registran qué página se visitó, qué selectores se seleccionaron y qué texto se escribió — facilitan reconstruir si una página influyó en el comportamiento del agente.
¿Usar un sandbox significa que mi agente es seguro?
Un sandbox reduce el radio de explosión pero no elimina el riesgo. Restringe lo que el agente puede alcanzar y lo que sobrevive a un reinicio, pero no previene malas decisiones del modelo, credenciales mal configuradas o vulnerabilidades a nivel de aplicación. La seguridad depende de controles en capas: cuentas con privilegios mínimos, credenciales con alcance, puertas de aprobación para acciones irreversibles, registros de auditoría que capturen la intención del modelo y las acciones ejecutadas, y revisión humana antes de que los flujos de trabajo sensibles lleguen a producción. Un sandbox es una capa, no la respuesta completa.
¿Durante cuánto tiempo se deben retener las capturas de pantalla y los datos de reproducción?
La retención depende de la sensibilidad del flujo de trabajo y tus requisitos de auditoría. Para agentes que tocan datos personales, sistemas de facturación, cuentas de clientes o herramientas internas, una ventana de retención definida con controles de acceso y redacción de valores sensibles (tokens, contenido de formularios, credenciales visibles) es una línea base razonable. Para flujos de trabajo de baja sensibilidad, puede ser apropiada una retención más corta o un registro solo de resumen. Decide antes de la implementación quién puede acceder a las reproducciones, cuánto tiempo se conservan y cómo se eliminan. Evita tratar las capturas de pantalla como artefactos de depuración inofensivos — a menudo contienen más datos sensibles que los registros estructurados.
¿Qué acciones del agente deberían requerir siempre aprobación humana?
Las acciones que son difíciles de revertir o legalmente significativas son los candidatos más claros: compras, cambios en la configuración de la cuenta, eliminación de archivos, rotación de credenciales, invitaciones de usuarios, envío de tickets de soporte y subidas de datos de clientes o regulados. Más allá de eso, considera requerir aprobación para cualquier acción fuera del alcance original de la tarea del agente, cualquier acción en un dominio o cuenta no anticipada al inicio de la ejecución, y cualquier descarga o ejecución de archivos que la tarea no requirió explícitamente. El evento de aprobación debe registrar lo que el agente pretendía hacer y lo que el humano confirmó explícitamente.
