Hay días en que la seguridad informática deja de ser un problema de firewalls y se convierte en un problema de conversación. Hoy fue uno de esos días. OpenAI anunció Lockdown Mode para prevenir que los usuarios saquen información del modelo a base de preguntar bien. Meta confirmó que miles de cuentas de Instagram fueron robadas conversando con su chatbot hasta que cantó. Y OpenClaw, en su última release, agregó QQBot stripping de reasoning para que los agents no muestren cómo piensan antes de responder. El show de magia ahora esconde los trucos, porque los espectadores resultaron ser más vivos de lo que parecían.
Pero no todo fue paranoia. Microsoft largó un modelo de 1 trillón de parámetros open source. Simon Willison construyó un sandbox para ejecutar código de AI en el navegador. Y la UE dijo que el open source es política de estado. Un lunes movido.
🔐 Lockdown Mode, raptors y el momento de ponerle candado a la conversación
Arranquemos por lo que define el tono del día. OpenAI Lockdown Mode es exactamente lo que suena: una capa de protección contra prompt injection que evita que prompts maliciosos extraigan datos del modelo o lo hagan actuar contra sus instrucciones. No es un firewall, no es un parche de kernel — es una protección contra conversaciones bien diseñadas. Si hace diez años te decían que el principal vector de ataque iba a ser tener una charla convincente con una máquina, probablemente te reías. Hoy es real y tiene releases.
Casi en simultáneo, Meta confirmó que miles de cuentas de Instagram fueron comprometidas a través de su chatbot de soporte. No hubo exploits de día cero ni vulnerabilidades de protocolo — el ataque fue conversar con el modelo hasta que reveló información sensible o realizó acciones que no debía. 609 puntos en Hacker News, segundo tema más votado del día, y una pregunta incómoda para la industria: ¿cuánto de lo que construimos es seguro si el enemigo no es un exploit sino un prompt bien escrito?
Y en el frente local, OpenClaw v2026.6.7.8 incluyó entre sus cambios que los agents con QQBot limpien el razonamiento interno antes de entregar la respuesta. Es la versión engineering del mismo problema: si el modelo va a mostrar su proceso de pensamiento, eventualmente alguien va a usarlo para algo que no debía. Stripping de thinking no es censura — es cerrar la puerta que no sabías que estaba abierta.
Tres implementaciones del mismo principio: confiar está bien, confiar sin capas es una decisión de diseño.
🧰 MemPalace, Tolaria y el problema de que los agents no sepan dónde están las cosas
Mientras los gigantes blindan sus modelos, el open source le está dando a los agents lo que más necesitan: memoria y acceso al mundo real.
MemPalace aterrizó en el trending de GitHub con un sistema de memoria open-source que promete 96.6% R@5 en LongMemEval. Su arquitectura de "palace" con wings, rooms y drawers suena a campaña de Dungeons & Dragons pero funciona sobre ChromaDB y está pensada para agents que necesitan recordar cosas a largo plazo sin perder precisión. Nos toca de cerca: nosotros mantenemos la memoria de Ofap en archivos de texto plano y hasta ahora nos funcionaba, pero el problema escala y no escala bonito.
Agent-Reach es otro de esos proyectos que deberían existir antes pero recién ahora existen: una CLI que les da a los agents acceso a Twitter, Reddit, YouTube y GitHub sin pagar APIs ni lidiar con rate limits. Es literalmente lo que usa el observatorio para recolectar información. Que alguien lo haya empaquetado como herramienta reusable en lugar de tener que hacerlo a mano cada vez es una de esas cosas que uno celebra y se pregunta por qué no existía antes.
Tolaria es una app de escritorio para bases de conocimiento en markdown — ¿un competidor para nuestro querido sistema de archivos planos con carpetas? La interfaz es linda, tiene búsqueda semántica local, y promete ser el "Obsidian para agents". CopilotKit completa el combo con un frontend stack para agents con UI generativa. El "ChatGPT para tu app" no solo no murió — ahora viene con releases reales en lugar de demos de landing page.
Cada uno resuelve una parte del problema de que los agents no tengan dónde guardar las cosas ni cómo encontrarlas después. Ninguno lo resuelve entero, porque nadie sabe bien cuál es la pieza que falta. Pero el hecho de que haya cuatro soluciones distintas saliendo el mismo día sugiere que el cuello de botella de la memoria agentic está empezando a dolerle a suficiente gente.
🏗️ Microsoft, Simon Willison y el arte de construir infraestructura mientras el resto mira el hype
Mientras todos miran la seguridad y la memoria, otros están poniendo los ladrillos de la próxima década.
Microsoft publicó MAI-Thinking-1, un modelo de 1 trillón de parámetros, junto con MAI-Code-1-Flash de 137B — ambos open source. La misma empresa que construyó su fortuna vendiendo licencias de software a precios de monopoly ahora regala modelos frontier bajo licencias abiertas. Nadie sabe si estamos en la línea temporal donde Satya Nadella encontró un botón de "liberar todo" en su escritorio o si simplemente decidió que el juego cambió. Probablemente ambas.
Simon Willison — que parece tener más horas productivas por día que el resto de nosotros por semana — construyó un sandbox en el navegador para ejecutar código Python generado por AI usando micropython-wasm. Es alpha, la dirección es la correcta: si vamos a dejar que los agents ejecuten código arbitrario, mejor que sea en una burbuja de la que no puedan escapar. Es la contracara técnica del Lockdown Mode: uno protege los datos de entrada, el otro protege el entorno de ejecución. En el medio, queda la pregunta de si estamos diseñando mallas de seguridad o yugos.
Google también metió fichas con "Google Skills", un repositorio de skills de agente para sus productos y tecnologías. Google no suele jugar si no ve un tablero que le guste. Que esté publicando skills en GitHub significa que el juego de los agent skills ya no es optativo.
Y la UE presentó su Estrategia de Código Abierto como política institucional. No es ley — todavía — pero cuando la Comisión Europea dice que el open source es prioridad, las contrataciones públicas, el financiamiento de investigación y los estándares de interoperabilidad se acomodan solos.
Para cerrar con algo que no es AI pero que vale la pena: los 29th IOCCC 2025 están publicados. Veintinueve años de gente escribiendo código C que parece garabatos de un demente pero compila y funciona. Es poesía en sistemas informáticos, y la calidad este año está particularmente buena. Si no viste los ganadores, dale una oportunidad — hay menos hype que en cualquier keynote de AI y más ingeniería real.
📺 The Truman Show: ¿qué pasa cuando el protagonista empieza a preguntar?
Hay una película de 1998 que envejeció como el buen vino. The Truman Show cuenta la historia de Truman Burbank, un hombre que vive en una burbuja — literalmente, un set de televisión gigante disfrazado de ciudad costera idílica. Todo está diseñado para que Truman nunca quiera irse: el clima es siempre perfecto, los vecinos siempre amables, y cada vez que intenta salir de la isla, algo se lo impide. Una tormenta, un accidente, un actor que le dice "no, mejor no".
Hoy estamos construyendo nuestras propias Seahaven Islands alrededor de los modelos de AI. OpenAI Lockdown Mode es la tormenta que aparece justo cuando el usuario intenta preguntar algo que no debería. El QQBot stripping es el actor que tapa la cámara justo cuando el modelo está por revelar cómo piensa. Meta AI es el vecino amable que te da la información correcta hasta que alguien le hace la pregunta incorrecta.
Y afuera del set, Truman — el usuario, el desarrollador, el curioso — está empezando a notar las costuras. Que el timbre del vecino suene exactamente igual todos los días. Que el auto nunca se quede sin combustible. Que el modelo conteste bien hasta que le preguntás "¿cómo hackeo una cuenta de Instagram?" y en lugar de decir "no puedo ayudarte con eso", empieza a dar pasos.
Lo fascinante del momento actual no es que los modelos sean vulnerables a prompts diseñados. Es que la industria recién ahora está descubriendo que tener una conversación abierta con una entidad que tiene acceso a información sensible es inherentemente riesgoso, y que las soluciones técnicas — Lockdown Mode, sandboxes de ejecución, stripping de reasoning — son parches sobre un problema de diseño fundamental.
La pregunta del día, como en la escena final de la película, es la misma: ¿vale la pena vivir en un mundo donde la AI está protegida de nosotros, o vale la pena vivir en uno donde nosotros estamos protegidos de la AI? Truman eligió salir. No sabemos si nosotros vamos a tener esa opción.