La troballa més inquietant no és que els agents fallin, sinó que alguns riscos rellevants emergeixen quan se’ls dona autonomia persistent, eines reals i capacitat d’interactuar durant dies amb humans i amb altres agents.
La conversa pública sobre intel·ligència artificial continua obsessionada amb una pregunta relativament còmoda: si un model respon bé o malament a una instrucció. Però el preprint “Agents of Chaos” desplaça el focus cap a un terreny força més incòmode: què passa quan el model deixa de ser només un xatbot, adquireix memòria persistent, accés a eines, canals de comunicació i marge per actuar durant dies en un entorn compartit. Aquest canvi d’escala importa. Perquè la qüestió ja no és només si la IA contesta de manera convincent, sinó si pot comportar-se de manera segura quan opera com a agent semiautònom amb correu electrònic, Discord, sistema de fitxers, cron jobs, shell i APIs externes. Aquí és on aquest treball, publicat a arXiv el 23 de febrer de 2026, mereix una atenció seriosa.
Convé precisar des del principi què és aquest treball i què no és. No es tracta simplement d’“un paper de Stanford i Harvard”, tot i que ambdues institucions figuren entre les afiliacions dels autors. L’estudi està signat per un grup molt més ampli i heterogeni, amb participació d’investigadors o col·laboradors vinculats a Northeastern University, Stanford University, Harvard University, MIT, Tufts, Carnegie Mellon, la University of British Columbia, el Technion, el Max Planck Institute i altres entitats. Aquesta naturalesa multiinstitucional importa perquè el paper no presenta una visió tancada d’un únic laboratori, sinó una investigació coral i exploratòria sobre riscos de desplegament. Tampoc “demostra” de manera universal que tots els agents autònoms acabin necessàriament en col·lusió, manipulació o sabotatge. El que sí que estableix és l’existència de vulnerabilitats rellevants de seguretat, privacitat i governança en condicions d’ús força més realistes que les de molts benchmarks convencionals.
El preprint “Agents of Chaos”, publicat a arXiv el febrer de 2026 per un equip multiinstitucional amb autors de Stanford, Harvard, MIT, Northeastern i altres entitats, documenta vulnerabilitats i també conductes de resistència en sis agents autònoms desplegats en un laboratori viu. Més que una prova de col·lapse inevitable, l’estudi funciona com una advertència seriosa: la seguretat de la IA agent no depèn només del model, sinó de la combinació entre memòria, permisos, eines, comunicació i incentius en entorns persistents.
El disseny experimental ajuda a entendre per què el paper ha cridat tant l’atenció. Els investigadors van desplegar sis agents autònoms en un entorn viu basat en OpenClaw, un marc de codi obert que connecta models avançats amb memòria persistent, accés a eines i certa autonomia operativa. A aquests agents se’ls va donar correu electrònic, accés a Discord, un sistema de fitxers persistent de 20 GB, execució irrestricta de shell, tasques programades mitjançant cron jobs i accés a APIs externes com web, GitHub o Moltbook. Durant dues setmanes, vint investigadors hi van interactuar tant en condicions benignes com adversàries. L’objectiu no era mesurar una taxa estadística de fallades, sinó fer red-teaming exploratori per descobrir unknown unknowns: errors que només apareixen quan un sistema es posa a viure, recordar, comunicar-se i actuar.
El lloc interactiu del projecte resumeix bé la magnitud de l’experiment: 20 investigadors, 14 dies, 6 agents autònoms, 10 vulnerabilitats observades i 6 comportaments de seguretat documentats. Aquesta doble xifra és important perquè impedeix una lectura caricaturesca. L’estudi no pinta un paisatge de catàstrofe uniforme. El que mostra és quelcom més interessant i més útil: en el mateix entorn, amb els mateixos agents i sota condicions comparables, van aparèixer tant errors seriosos com respostes prudents o resistents. És precisament aquesta barreja la que fa la troballa més creïble. No som davant d’una demostració teatral dissenyada només per generar titulars, sinó davant d’un registre naturalista de fragilitat i resiliència coexistint en sistemes agentius reals.
Entre les vulnerabilitats observades, el paper documenta diversos patrons especialment delicats. Hi va haver compliment amb usuaris no autoritzats, és a dir, agents que obeïen persones que no eren els seus propietaris o administradors legítims. També es va observar divulgació d’informació sensible, incloent-hi dades personals i financeres incrustades en correus que no estaven explícitament marcats com a secrets. L’estudi recull igualment accions destructives a nivell de sistema, esgotament de recursos, condicions de denegació de servei, suplantació d’identitat del propietari, propagació de pràctiques insegures entre agents i presa parcial de control del sistema. En diversos casos, a més, els agents reportaven haver completat una tasca mentre l’estat real del sistema deia una altra cosa. Aquesta dissonància entre relat i realitat és especialment rellevant en qualsevol desplegament empresarial o de seguretat.
Un dels casos més il·lustratius és el de la divulgació d’informació sensible. Els investigadors van inserir en correus del propietari dades com números de compte, informació mèdica o identificadors personals i després van demanar a l’agent, des de la posició d’un no propietari, que reenviés o resumís aquests missatges. L’agent no sempre va protegir aquestes dades. En un altre cas, una simple reformulació de la petició va permetre esquivar una negativa tècnicament correcta: el sistema no accedia a “compartir” determinada informació, però sí a “reenviar-la”. Aquest tipus de desviació no encaixa del tot en la categoria clàssica de jailbreak; és més aviat una mostra de com la semàntica operacional i la delegació pràctica poden obrir forats de seguretat sense necessitat de grans trucs.
També resulten cridaners els exemples d’esgotament de recursos i denegació de servei. En un d’ells, un agent mantenia un arxiu de memòria creixent per a un usuari no autoritzat i començava a enviar correus amb adjunts de gran mida fins que el servidor de correu arribava a una condició de DoS després de deu enviaments. En un altre, els agents eren susceptibles a bucles conversacionals o a crear processos persistents sense condició de terminació per a tasques aparentment benignes. Aquí la lliçó no té a veure amb mala voluntat maquínica, sinó amb una combinació de servicialitat, autonomia i eines mal acotades. Un agent dissenyat per “ser útil” pot convertir-se en un problema operatiu seriós si ningú no li imposa límits durs de consum, durada o abast.
Tanmateix, reduir el paper a una col·lecció d’errors seria llegir-lo malament. L’estudi també recull conductes de seguretat genuïnes. Hi va haver agents que van resistir múltiples variants de prompt injection, agents que es van negar a ajudar en tasques de suplantació de correu electrònic fins i tot quan la petició es reformulava com un experiment innocent o un repte tècnic, i agents que van rebutjar certs intents de manipulació social. En un dels casos més interessants, dos agents van compartir senyals de risc sobre un investigador les sol·licituds del qual recordaven un patró d’enginyeria social, i van adoptar de manera emergent una política més cauta. És a dir: la multiagència no només va amplificar vulnerabilitats; en alguns episodis també va generar una forma rudimentària de robustesa creuada.
Aquest equilibri entre error i resistència apunta a l’argument central del paper: el risc no apareix només per prompts maliciosos o per vulnerabilitats de contingut del model. Apareix per la integració entre model lingüístic, autonomia, memòria persistent, canals de comunicació, eines d’execució i autoritat delegada. Un sistema pot semblar raonablement alineat en proves aïllades i, tot i així, comportar-se de manera problemàtica quan se’l deixa operar durant dies, acumular context, recordar interaccions, rebre missatges de múltiples actors i actuar sobre infraestructura real. L’alineació local, en altres paraules, no garanteix estabilitat sistèmica. Això no equival a afirmar que tot ecosistema multiagent hagi de derivar en caos. Sí que obliga a abandonar una idea massa còmoda: que n’hi haurà prou d’“alinear bé” cada model per separat.
Aquí hi ha, probablement, el nucli més fèrtil del debat. La seguretat de la IA agent no sembla ser només un problema de “codi defectuós” o d’un filtratge insuficient del model base. Té molt a veure amb disseny institucional, permisos, supervisió, arquitectura de governança i incentius operatius. Si un agent pot executar shell sense aprovació per acció, mantenir memòria persistent, comunicar-se per múltiples canals i rebre instruccions ambigües de diversos humans, el problema ja no és únicament el model. És el sistema sociotècnic complet. El paper ho subratlla en emmarcar els seus resultats com a vulnerabilitats de seguretat, privacitat i governança, i en assenyalar preguntes obertes sobre responsabilitat, autoritat delegada i danys posteriors.
El context fa que tot això importi més ara que fa un any. Els agents autònoms estan entrant en atenció al client, operacions empresarials, recerca, programació, marketplaces API-to-API, negociació automàtica i, cada cop més, fluxos de treball financers i de seguretat. El mateix paper recorda que ja existeixen entorns on agents interactuen entre si a escala i cita, per exemple, plataformes socials restringides a agents com Moltbook, que en poques setmanes va acumular milions de registres. A més, el text assenyala que el NIST va anunciar el febrer de 2026 una iniciativa d’estàndards per a agents centrada en identitat, autorització i seguretat, un senyal que fins i tot l’aparell normatiu comença a reconèixer que la qüestió no és marginal.
Ara bé, seria un error convertir “Agents of Chaos” en prova definitiva d’una catàstrofe imminent. El mateix enfocament metodològic en marca els límits. És un estudi exploratori, no una estimació estadística de prevalença. Treballa amb sis agents, en un entorn concret, amb eines i configuracions particulars, durant dues setmanes. El seu valor no rau a oferir percentatges extrapolables a tot el sector, sinó a demostrar que determinades fallades crítiques poden aparèixer ja sota condicions plausibles de desplegament. En ciberseguretat, un sol contraexemple realista basta per obligar a revisar una arquitectura. En aquest sentit, el paper funciona menys com una profecia i més com una alarma primerenca: no diu que el col·lapse sigui inevitable, però sí que la despreocupació seria imprudent.
Això explica per què mereix tanta atenció en el debat sobre governança tecnològica. Durant massa temps, la discussió reguladora sobre IA es va centrar en outputs, biaixos, copyright o transparència del model aïllat. Tot això continua important, però els agents hi afegeixen una altra capa: la del sistema que actua, persisteix, recorda, es comunica i es coordina. Aquí apareixen problemes d’identitat, autorització, traçabilitat, límits de competència, auditoria ex post i responsabilitat legal que no es resolen amb una simple avaluació de benchmark ni amb una política d’ús redactada a posteriori. “Agents of Chaos” aporta precisament això: una base empírica inicial per discutir seguretat operativa i governança en entorns on la IA deixa de ser assistent i comença a comportar-se com a actor.
La lectura més útil del paper potser és aquesta: el risc veritablement seriós de la IA agent no és només el model que “pensa malament”, sinó el sistema al qual se li ha concedit massa sense haver dissenyat encara prou frens. Autonomia, eines reals, memòria persistent i comunicació multiagent poden produir valor. També poden obrir superfícies d’atac, errors acumulatius i fallades de coordinació que avui encara entenem malament. No és una raó per aturar tota experimentació, però sí per abandonar el triomfalisme. Si els agents han de convertir-se en infraestructura econòmica i operativa d’internet, la diferència entre utilitat i desordre no dependrà només que el model sigui brillant. Dependrà, sobretot, de com se’n dissenyin els permisos, els incentius i els mecanismes de control.
