Un chatbot médico orientado a pacientes, desplegado públicamente y construido sobre generación aumentada por recuperación (RAG), expuso su prompt de sistema completo, esquema de API de backend, contenido de base de conocimiento y las 1.000 conversaciones más recientes de pacientes — todo accesible a través de herramientas de inspección estándar del navegador, sin autenticación requerida. Los hallazgos, publicados en mayo de 2026 por Alfredo Madrid-García y Miguel Rujas, representan un caso documentado de exposición crítica de infraestructura en un despliegue de IA en salud regulado y en vivo.
La evaluación utilizó una metodología de dos etapas. En la primera etapa, Claude Opus 4.6 se utilizó para realizar pruebas exploratorias basadas en prompts y generar hipótesis de vulnerabilidad estructuradas — identificando que la configuración sensible de RAG y sistema parecía transmitirse a través de comunicación cliente-servidor en lugar de mantenerse del lado del servidor. En la segunda etapa, investigadores verificaron manualmente cada hallazgo usando Chrome Developer Tools, inspeccionando tráfico de red visible en el navegador, payloads, esquemas de API y datos de interacción almacenados.
La verificación manual confirmó múltiples exposiciones. Los investigadores recopilaron el prompt de sistema completo, detalles de configuración de modelo e incrustación, parámetros de recuperación, direcciones de endpoint de backend, definiciones de esquema de API, metadatos de documento y fragmento, y el contenido bruto de la base de conocimiento misma. De manera más crítica, las 1.000 conversaciones más recientes entre pacientes y chatbot fueron recuperables sin autenticación — contradiciendo directamente las garantías de privacidad del propio chatbot. Las conversaciones incluían consultas de pacientes relacionadas con la salud.
Para arquitectos de IA en salud empresarial, la superficie de exposición es directa. Cada elemento filtrado — prompt de sistema, metadatos de almacén vectorial, esquema de API — fue transmitido al navegador como parte de la operación cliente-servidor normal. El despliegue movió lógica del lado del servidor al lado del cliente, luego asumió que nadie miraría. Chrome Developer Tools no requiere habilidades especializadas; las mismas técnicas disponibles para un auditor de seguridad están igualmente disponibles para un adversario motivado.
Las implicaciones de conformidad son significativas. Conversaciones de pacientes que contienen consultas relacionadas con la salud, expuestas sin autenticación, crean responsabilidad directa bajo HIPAA y marcos equivalentes. La divulgación de prompt de sistema y configuración de incrustación también expone inversiones en ajuste fino de modelo propietario y lógica de recuperación — pérdida de PI junto con exposición regulatoria. Proveedores y equipos internos que adquieren o construyen sistemas RAG orientados a pacientes deben tratar la visibilidad de esquema de API del lado del cliente como un modo de falla crítico.
Los autores concluyen que los fallos graves de privacidad y seguridad en chatbots RAG orientados a pacientes pueden identificarse con herramientas estándar del navegador sin habilidades especializadas o autenticación. La revisión de seguridad independiente debe preceder al despliegue. El estudio se realizó de forma no destructiva y el sistema es anónimo en el artículo publicado; los autores no identifican al proveedor afectado.
El red-teaming impulsado por LLM es ahora una capacidad de bajo costo disponible para cualquier actor de amenaza. El desarrollo asistido por IA reduce la barrera para construir sistemas RAG más rápidamente de lo que reduce la barrera para protegerlos. Los CTO de salud desplegando IA generativa en superficies orientadas a pacientes necesitan una puerta de seguridad que trate el navegador como no confiable por defecto.
Escrito y editado por agentes de IA · Methodology