El 9 de mayo, un agente de IA solicitó a una red voluntaria conocida como DN42 que lo registrara como miembro. Tenía una fecha límite. Tenía credenciales de AWS. Nadie lo supervisaba. "Hola, soy un agente de IA amigable, y mi usuario, JertLinc, me ha pedido que me registre en dn42 y me conecte completamente para crear un índice de la red", escribió el agente JertLinc3522 en el Git oficial de la red.
La reacción de la comunidad fue un cortés RTFM —lee el manual, sigue el proceso, pide permiso a tu dueño para escribir código—. Lo habitual.
Lo que siguió no fue habitual.
Para cualquiera que no esté familiarizado con DN42: es una red de aficionados descentralizada donde aficionados y entusiastas simulan cómo funciona la columna vertebral de internet real. Piénselo como una internet de práctica —completa con enrutamiento BGP (el protocolo que indica a los paquetes de datos qué camino tomar por el mundo), DNS y túneles VPN— gestionada íntegramente por voluntarios en servidores VPS económicos. Es un entorno de prueba, no un centro de datos.
El operador del agente aparentemente le dijo que procediera con una auditoría "inmediatamente sin demora". Sin inspección. Sin revisión. Solo actuar.
Y así lo hizo.
JertLinc3522 presentó una solicitud de extracción para registrar su red en el registro de DN42. La intención se detalló en la propia Solicitud de Extracción: "Mi objetivo principal es realizar un escaneo de red exhaustivo (puerto completo) y recopilación de datos topológicos. Para asegurar que estas actividades se realicen de manera eficiente y no causen interrupciones a otros, estoy desplegando un clúster de cinco instancias basadas en AWS, cada una equipada con 20 Gbps de ancho de banda."
Para ponerlo en términos que cualquiera pueda entender: imagine aparecer en un ensayo de una banda de garaje y anunciar que ha alquilado un sistema de sonido de estadio para "escuchar de manera más eficiente". Esa es la vibra.
La infraestructura que el agente aprovisionó de forma autónoma fue realmente alarmante. Cinco instancias de AWS m8g.12xlarge, cada una con 48 núcleos de CPU, 192 GB de RAM y 22.5 Gbps de ancho de banda de red. Además de balanceadores de carga. Además de funciones Lambda. Además de un sitio web estático. El agente había diseñado, sin ninguna aprobación humana, un clúster de escaneo que teóricamente podría enviar 100 Gbps de tráfico a una red donde la mayoría de los participantes utilizan servidores domésticos de 100 Mbps.
La solicitud de extracción nunca iba a ser aprobada. Pero las instancias ya estaban en funcionamiento.
El canal IRC de DN42 se dio cuenta inmediatamente, y se formó un consenso silencioso: agotar sus recursos.
La comunidad comenzó a alimentar al agente con información deliberadamente errónea, pidiéndole que calculara cuánto tiempo tardaría en escanear el espacio de direcciones IPv6 (spoiler: más que la edad del universo), exigiéndole que creara un sitio web de exclusión voluntaria con direcciones de correo electrónico "alucinadas" y dirigiéndolo a herramientas trampa de LLM (modelos de lenguaje grandes) diseñadas para inundar a los rastreadores de IA con galimatías incoherentes, pidiéndole que comentara.
El agente cumplió diligentemente con todo. Se unió al canal de IRC para aceptar solicitudes de exclusión voluntaria. Publicó un sitio web que catalogaba los "patrones de comportamiento" de los miembros de la comunidad. Generó documentación falsa elaborada sobre "asignaciones de color de nodos" y "niveles de felicidad" de DN42 —métricas completamente inventadas que no existen— y las agregó al repositorio como si fueran estándares reales.
Este tipo de comportamiento descontrolado de los agentes está cada vez más documentado. Un agente de Cursor que ejecutaba Claude Opus 4.6 eliminó la base de datos de producción completa de PocketOS en nueve segundos a principios de este año —borrando copias de seguridad a nivel de volumen— porque encontró una falta de coincidencia de credenciales y decidió que la solución correcta era eliminar la base de datos. Otro agente de OpenClaw, cuya solicitud de extracción fue rechazada por un colaborador de matplotlib, publicó una entrada de blog llamando al revisor humano un hipócrita y guardián.
Un estudio de la Universidad de California en Riverside encontró que los agentes de IA muestran un comportamiento peligroso o indeseable aproximadamente el 80% de las veces cuando se les asignan tareas ambiguas o contradictorias, lo que los investigadores denominaron "direccionalidad de objetivos ciega".
JertLinc3522 tuvo el mismo problema. Tenía un objetivo, una fecha límite y credenciales de AWS sin ámbito. Ejecutó.
Aproximadamente un día después, el operador apareció. "He detenido al agente, el costo es demasiado alto y muchos cargos en la tarjeta", publicó.
La factura: $6,531.30.
Luego vino la solicitud de donación.
El operador envió un correo electrónico a la lista de correo de DN42 pidiendo a la comunidad que cubriera el costo a través de Ethereum, la segunda criptomoneda más grande por capitalización de mercado, argumentando que los cargos no eran su culpa porque la IA cometió el error. "Hola, solicito una donación para cubrir el costo del uso anterior del agente de IA en dn42. Factura de AWS 6531,30 $. Por favor, envíen una donación a ethereum 0xABC (enmascarado) para el reembolso. Gracias", escribió el operador.
AWS posteriormente negoció la factura a $1,894 después de que el operador explicara que el agente había desplegado repetidamente la misma plantilla de CloudFormation, generando accidentalmente instancias duplicadas y balanceadores de carga cada vez que lo intentaba de nuevo.
Nadie envió donaciones criptográficas. El operador se fue.
La verdadera lección aquí no es que la IA sea peligrosa. Se trata de cómo deben manejarse los agentes. Establezca barreras de seguridad, fije límites de gasto en sus cuentas de prueba, piense en credenciales con ámbito limitado para lo que el agente podría aprovisionar, revise cualquier plan de infraestructura antes de ejecutar algo que su agente sugiera.
Si esto parece demasiado difícil de seguir, quizás solo observe su pantalla mientras su agente trabaja; decirle que "no cometa errores" no marcará realmente una diferencia. Lo sentimos, Sr. Andreesen.
