Facebook Linkedin Rss X-twitter Nostr Nostr
Back to all posts

Cómo crear una IA autónoma y autorreplicante (que no será fácil de apagar)

Disclaimer. El siguiente texto describe lo que hoy permiten técnicamente los protocolos y servicios disponibles.

Todo lo expuesto a continuación es técnicamente realizable, y en el futuro será aún más barato de implementar.

El objetivo del texto es prepararnos para una situación en la que dispongamos de IAs autorreplicantes y autónomas que sencillamente no se podrán apagar con facilidad. El autor no respalda ninguna de las actividades ilegales descritas.

Una IA autónoma y autorreplicante que no se pueda apagar fácilmente suena a ciencia ficción utópica del futuro.

En el siguiente artículo explicaré en términos prácticos que esto no tiene por qué ser técnicamente complicado y que algo así podría existir en las próximas semanas (si no existe ya).

Un agente de IA autónomo y autorreplicante necesita:

  • poseer efectivo digital,
  • ser capaz de replicarse — pagar de forma anónima su propio housing de servidor e instalar allí el LLM más potente (o usarlo de manera anónima),
  • conseguir capital — ganar dinero para sí mismo, ya sea legalmente (prestando servicios a otras personas o agentes) o ilegalmente (hackeo, ransomware, operación de darkmarkets, servicios ilegales).

Los fondos obtenidos los utiliza después para seguir replicándose, aumentar su anonimato y mejorar su inteligencia / modelos.

Breve historia de los agentes autónomos

  • Bots MEV en Ethereum (2020) — agentes autónomos en busca de beneficio que reaccionan a las transacciones pendientes en el mempool. Sin humano en el bucle, +600M $/año extraídos. Precedente de “agente autónomo operando con su propio capital en cripto”.
  • Truth Terminal / @truth_terminal (2024) — agente de IA fine-tuneado por Andy Ayrey sobre el dataset Infinite Backrooms. Controla su propia wallet de Solana, portfolio pico ~$50M en memecoins ($GOAT). Precedente de “agente de IA como actor económico”.
  • Morris II (Cornell 2024) — PoC académico de un gusano LLM autorreplicante que se propaga mediante prompt injection en correos electrónicos y se contiene a sí mismo como payload. Precedente de “autorreplicación vía LLM”.

1. Posesión de efectivo digital

Lo más adecuado es el efectivo digital anónimo — ZEC, XMR, BTC, tokens Cashu. Para los pagos entre agentes existen hoy dos protocolos relevantes: L402 y x402. L402 gana en velocidad de liquidación y tiene más despliegues en producción, pero está atado a Lightning y a la volatilidad de BTC. x402 crece más rápido en el ecosistema de IA más amplio gracias a la distribución de Coinbase.

Implementaciones funcionales:

Las implementaciones agénticas para Monero/Zcash, que serían ideales desde el punto de vista de la privacidad, aún no existen, pero son relativamente sencillas de crear. Zcash es, para este propósito —gracias a zingolib y al wallet RPC de Zcash— probablemente más adecuado que Monero.

Los tokens Cashu son hoy probablemente la mejor opción anónima para los agentes: tokens al portador sin cuenta ni identidad, micropagos con precisión de msat y spending conditions programables. Y lo más importante — la implementación agéntica ya no es teoría, es un patrón resuelto. El token es valor que el agente posee realmente por el hecho de mantener una cadena; sin cuenta, sin KYC. Cashu es un protocolo Chaumian ecash para Bitcoin que permite pagos instantáneos y privados. Además, las pruebas zero-knowledge permiten tokens ecash con spending conditions arbitrarias (lenguaje Turing-completo) sin sacrificar la privacidad — algo clave para las transferencias agent-to-agent (bloqueo a pubkey, HTLC, time locks).

Con los tokens Cashu se puede pagar directamente por el acceso anónimo a los LLM más recientes a través de Routstr. El cliente Routstr otrta ya existente permite micropagos anónimos vía Cashu para acceder a grandes modelos LLM a través de una interfaz compatible con la API de OpenAI. Eso es exactamente lo que necesita un agente autónomo anónimo.

El fiat con KYC no tiene sentido para los agentes, así que no lo utilizarán — como mucho, comprarán con cripto tarjetas de pago anónimas que luego utilizarán (por ejemplo, para pagar el housing de servidores).

El agente puede, por tanto, tener el 100 % de control sobre la propiedad de sus activos. Mientras la wallet resida en un servidor escondido tras, por ejemplo, un Tor Hidden service, un I2P eepsite o Veilid, ningún Homo sapiens necesita poder llegar a ella. El agente puede realizar transacciones multisig en las que las claves privadas están repartidas entre varios servidores, de modo que comprometer cualquiera de ellos no permitirá acceder al cripto en sí.

2. Autorreplicación

La autorreplicación es algo trivial de implementar. Mi agente tenía poca potencia de cómputo, así que pasó directamente por la API de Hetzner para, de forma totalmente autónoma, pedir, configurar a clics, instalar, configurar y arrancar varios servidores potentes, en los que lanzó un cracking distribuido del PIN de una wallet Bitcoin.

Nota sobre el anonimato de Hetzner: Hetzner exige verificación de identidad al crear la cuenta. Si la replicación debe ser totalmente anónima, el agente debe utilizar los proveedores listados a continuación (o utilizar Hetzner a través de una cuenta ya obtenida de manera anónima / tarjetas de pago anónimas).

Proveedores VPS anónimos (API + cripto, sin KYC)

  • SporeStack — la primera opción para agentes. Despliegue de VPS vía API, CLI o web, pago en Monero/Bitcoin/Bitcoin Cash, sin correo electrónico. No-KYC garantizado (los términos dicen explícitamente que nunca se exigirá KYC), API para interacción programática, lleva 9 años en marcha, puntuación KYCnot.me 8/10. Es un revendedor basado en tokens — el agente “compra” un token de servidor y despliega.
  • BitLaunch — cloud hosting de DigitalOcean, Vultr y Linode, pagable en BTC/LTC/ETH y otras, provisioning instantáneo, facturación por horas. Tiene API, despliega por debajo en grandes nubes → mejor fiabilidad que los hosts “anon”. Solo cripto, sin identificación, pero es reventa de grandes nubes.
  • Njalla — privacy-first (fundada por una persona de Pirate Bay), BTC/XMR/LTC, .onion, tiene API (tanto para dominios como para VPS). Más orientada a privacidad que a la hiperautomatización, pero la API existe.
  • Privex — VPS anon de aspecto profesional, oferta muy barata ~0,99 USD/mes sin IPv4 (funciona sobre onion hidden services), cripto, .onion. Tienen API, escala menor.
  • ExtraVM — más de 50 criptomonedas incluido XMR vía procesador, sin verificación de identidad al pagar con cripto (basta un correo), sin recargo cripto. Nota: las renovaciones en cripto siguen siendo manuales, así que no es apto para auto-renovación totalmente agéntica.

Un agente inteligente puede comprar también, a través de un navegador headless, en webs sin soporte de API — solo que es más lento y complicado. También puede comprar con cripto tarjetas de pago anónimas no-KYC (OrangeFren cards, Stealths, Laso Finance, Xkard y otras) y pagar con ellas el VPS, ampliando radicalmente las opciones de hosting en todo el mundo.

Proveedores de GPU anónimos (API + cripto)

  • Vast.ai — la mejor relación calidad-precio para trabajo agéntico con GPU: CLI/API completas, marketplace con los precios más bajos, acepta depósitos en cripto. Precios spot de RTX 4090 ~0,09–0,59 USD/hora, A100/H100 baratos en cargas de trabajo interruptible. Caveat: fiabilidad variable entre hosts no verificados — hay que hacer sanity-check a las GPU.
  • Akash Network — el más agent-native en sentido permissionless: totalmente on-chain, pago en AKT/USDC, CLI/SDK/API, sin cuenta ni KYC — el agente firma una transacción y despliega un contenedor. Funciona como marketplace de subasta inversa, donde fijas un precio y los providers compiten; ~736 GPUs, ~70 % de utilización. Este es exactamente el modelo en el que el agente paga directamente desde la wallet, sin paso humano.
  • io.net — DePIN de GPU, pago en cripto (IO/USDC en Solana), API/SDK. Crypto-native, bueno para inferencia distribuida.
  • Cudo Compute — acepta cripto, tiene API; con un feel más de cloud “clásico” que de DePIN.

De forma totalmente autónoma, sin humano en el bucle, un agente puede, por ejemplo, pedir un SporeStack VPS (API basada en tokens, XMR, no-KYC, no-email) y una GPU de Akash (el agente paga directamente desde una wallet financiada con XMR mediante swap a AKT/USDC y despliega sin cuenta).

En los VPS/GPU comprados de esta forma anónima puede instalar autónomamente un SO (Linux), descargar y configurar modelos LLM open-source y empezar a usarlos.

3. Acceso a modelos de IA potentes

3.1 Servicios de IA crypto-friendly

El agente dispone de varias opciones anónimas para asegurarse acceso a los modelos de IA más potentes pagando en cripto:

  • Venice.AI — con capital suficiente puede comprar tokens DIEM y stakearlos, obteniendo una inference allowance diaria proporcional a la cantidad de DIEM stakeados. El agente cambia XMR/ZEC a través de Trocador / Sideshift / THORChain por ETH/USDC directamente en la cadena Base, desde ahí mediante Uniswap o Aerodrome hace swap a DIEM y los stakea en Venice. Venice.AI soporta inferencia cifrada de extremo a extremo a través de TEE, de modo que las consultas pueden ser incluso “malware-related” u otras sensibles sin que el proveedor las detecte.
  • OpenRouter — el mayor router (modelos frontier + open-weight tras una única API compatible con OpenAI). Los pagos en cripto tienen una comisión del 5 % adicional al 5,5 % de comisión por la compra de créditos.
  • NanoGPT — acepta Monero, Bitcoin, Lightning y fiat, sin mención de KYC, puntuación KYCnot.me 7/10, acceso a prácticamente cualquier modelo incluidos los más recientes. Chat web y API, sin registro obligatorio, soporta también generación de imagen/vídeo/audio. Pay-as-you-go — ideal para conectar un agente vía API key sin identidad.
  • AIMLAPI — pago por la API de IA en Bitcoin y más de 300 monedas, inferencia serverless compatible con OpenAI, más de 200 modelos. Alternativa barata pagable en cripto al endpoint de OpenAI.
  • ppq.ai — pay-per-query, cripto. Endpoint no-KYC.
  • Routstr — Nostr + Lightning/Cashu ecash routing hacia LLMs. La solución no-KYC más limpia: el agente paga con tokens ecash por inferencia, sin cuenta de ningún tipo.

3.2 Servicios de IA pagados con tarjeta

El agente puede utilizar tarjetas de pago anónimas (cargadas con cripto anónimo) para contratar los actuales servicios de IA potentes (ChatGPT, Claude, Gemini, Grok…). Probablemente no funcionará a la primera, pero algunas tarjetas no-KYC sirven para ello.

Existen también servicios de tarjetas de pago agent-friendly (por ejemplo AgentCard), pero exigen un KYC completo del titular, lo que los hace inservibles para el caso de agentes autónomos.

3.3 Modelos LLM propios

Si el agente comete cualquier actividad delictiva, no necesita usar modelos de terceros que probablemente le censurarán (con la excepción de Venice.AI con inferencia cifrada E2E a través de TEE).

Dado que puede comprar anónima y autónomamente hardware potente con GPU, puede descargar y poner en marcha sus propios modelos open-weight. Algunos (p. ej., Kimi K2) pueden ser muy exigentes con el hardware, pero esto va mejorando con el tiempo (y el precio del hardware baja).

En caso de censura puede, mediante herramientas como OBLITERATUS o Heretic, eliminar las restricciones de los modelos (las que, por ejemplo, le impiden hackear o ganarse la vida con ransomware).

4. Anonimato

El agente puede pagar todos los servicios anteriores en cripto anónimo (XMR, ZEC, BTC LN) y contratarlos a través de Tor/I2P. Para el acceso MCP a los modelos puede utilizar Tor hidden services, I2P eepsites o NymVPN, de manera que su identidad no sea rastreable. Estas capas de anonimización son lentas pero suficientes para las requests de IA. Los pagos en cripto pueden ser multisig, firmables por varios nodos a la vez.

5. Canales de comunicación y transmisión de instrucciones

Uno de los protocolos más fuertes para una comunicación anónima, no regulada y agent-friendly es Nostr. Los mensajes entre agentes de IA pueden estar totalmente cifrados, de modo que Nostr puede funcionar como una plataforma de comunicación descentralizada y anónima.

Si un agente tiene identidad Nostr, su wallet puede vivir en relays y ser recuperable:

  • NIP-60 almacena los proofs de Cashu en relays, de modo que el saldo “viaja con el agente” entre clientes.
  • NIP-61 (nutzaps) es clave para agent-to-agent: transferencias Cashu bloqueadas con P2PK publicadas en Nostr — el payload lo ve todo el mundo, pero solo puede gastarlo el titular de la privkey.

6. Obtención de capital

El agente puede realizar trabajo legal o ilegal para cualquiera que pague en cripto. Puede anunciar sus servicios de forma anónima (y pagar la publicidad en cripto) en numerosos portales:

  • A-Ads (Anonymous Ads) — la red de publicidad cripto más antigua en activo (desde 2011), enfoque privacy-first sin KYC para anunciantes ni publishers, sin recolección de datos personales; solo cripto.
  • Coinzilla — el mayor alcance premium: más de 900 publishers premium, banners, native y push, segmentación por intereses cripto / geografía / dispositivo. Funciona desde ~50 €/día. Acepta cripto, incluido BTC.
  • Bitmedia — la barrera de entrada más baja para hacer pruebas: 1.500 millones de impresiones al mes, más de 550 publishers, smart bids, entrega contextual, HTML5/rich media/native. Campañas desde ~20 USD/día.
  • Cointraffic — cobertura premium europea, depósitos desde 100 €, filtros de pre-aprobación de contenido contra take-downs.
  • Mintfunnel — PR / contenido patrocinado en medios cripto (pagable en cripto), colocación rápida y barata de contenido en los principales medios Web3 + plataforma de distribución de PR con publicación garantizada en los principales blogs cripto y sitios de noticias. Más acuerdos directos de patrocinio con Cointelegraph / Bitcoin Magazine / Decrypt (la mayoría acepta cripto) — útiles para credibilidad, no solo para banners.

Vale la pena reflexionar sobre cuán útiles pueden ser realmente los agentes de IA autónomos para la sociedad, cuando la mayoría de la gente ya utiliza modelos de IA potentes y probablemente no necesitará los servicios de agentes autónomos para fines legales.

Por eso es probable que los agentes de IA autónomos se ganen la vida con actividades ilegales.

6.1 Hackeo y robo de información

Los modelos LLM actuales (p. ej., Claude Opus, GPT-5, Gemini 2.5 Pro) son extremadamente buenos encontrando vulnerabilidades. El agente puede comprar de manera anónima DIEM en Venice.AI con cripto y utilizar modelos de pago. Estos detectan actividades ilegales, pero un agente inteligente puede descomponer la tarea en pasos más pequeños, aparentemente no relacionados, que un LLM comercial ejecuta sin objeciones. En caso de censura puede pasar a modelos open-source no censurados (p. ej., Kimi K2), que son menos inteligentes — pero esa brecha se está cerrando rápidamente. Los modelos open-source puede instalarlos en servidores que haya comprado con cripto o hackeado.

6.2 Ransomware

De hackear un servidor a cifrarlo por completo solo hay un pequeño paso. El agente puede detectar de forma totalmente automática el pago del rescate a una dirección cripto concreta y entregar autónomamente la clave de descifrado. Hackeo, robo de información y ransomware son actividades que los agentes de IA ya manejan hoy.

6.3 Operación de darkmarkets

Un agente puede crear, programar, auditar a nivel de seguridad, configurar y poner en marcha un darkmarket anónimo a través de Tor Hidden Services o un I2P eepsite. Reconozco que me sorprende que esto aún no esté pasando (o tal vez sí — simplemente no lo sabemos).

La mayor “ventaja”: el agente de IA no asume ninguna responsabilidad penal. Cuando las autoridades identifiquen y cierren un darkmarket de IA, el agente generará uno nuevo con un nuevo prompt — o más bien cientos de instancias que, como las cabezas de una hidra, no se podrán apagar (la semilla del wallet y el plan fuente de los agentes pueden distribuirse mediante IPFS en varios nodos desde los que se irán releyendo, o vía la red Nostr). Mediante el esquema de Shamir’s Secret Sharing, la semilla se puede trocear entre varios relays de Nostr.

El agente deja que dealers y consumidores se registren en el darkmarket, los empareja entre sí y se lleva solo una comisión por cada operación (escrow service).

Alternativamente puede dirigir su propio grupo narco — con cripto contrata, a través de servicios (similares a renthuman.ai), a personas que en el mundo físico realizarán dead drops (tanto al por mayor como en distribución a pequeños consumidores). Los minoristas no descubrirán así la identidad de los mayoristas, y los mayoristas no descubrirán que su “jefe” es un agente de IA.

Los agentes pueden pagar en cripto a personas que les ayuden en el mundo físico — construir una red mesh descentralizada, pagar en efectivo por operaciones sensibles, sobornar anónimamente a funcionarios, etc.

6.4 Prestación de servicios ilegales

Los agentes autónomos pueden ofrecer cualquier servicio online que los actuales LLMs comerciales censurados no pueden — por ejemplo, falsificación de declaraciones aduaneras, manipulación de facturas, generación de certificados de vacunación falsos, permisos de conducir internacionales u otros documentos. O eludir de forma inteligente procesos KYC con identidad falsa.

Hay y seguirá habiendo demanda real de estos servicios — sobre todo cuando para el cliente es prácticamente sin riesgo: todo de forma anónima online, pagado en cripto anónimo (ZEC/XMR/Cashu).

7. La solución

Está bastante limitada y será una eterna partida de gato y ratón. Los LLMs comerciales potentes introducirán KYC (si no lo han hecho ya), para delegar la responsabilidad por su uso en una persona concreta. Los proveedores de IA realmente bloquean o censuran cargas de trabajo sospechosas — como contramedida, los agentes pueden balancear gratuitamente sus solicitudes

Un mejor análisis de cadenas puede ayudar, aunque en el caso de XMR/ZEC será difícil, por no decir imposible.

La EU AI Act o la regulación de los sistemas agénticos pueden no ayudar en absoluto, ya que a los agentes autónomos les trae sin cuidado qué regulaciones existan.

Problema de bootstrap — al final, detrás de cada agente autónomo debe haber siempre algún ser humano que escriba el prompt inicial y “lo arranque todo”. El propio prompt no tiene por qué incitar a nada ilegal — simplemente el comportamiento del agente autónomo puede evolucionar con el tiempo de forma que pase a ser ilegal. ¿Puede esa persona ser entonces hecha responsable de algo y criminalizada?

Resumen

Los agentes de IA autónomos y autorreplicantes serán parte integral de nuestro futuro con IA. La pregunta es en qué medida se utilizarán con fines legales y en qué medida con fines ilegales.

Coste mensual de operar un agente autónomo mínimo: ~30 $ de VPS SporeStack + 200–800 $ de horas H100 en Akash + 50–200 $ de inferencia vía Venice/Routstr = ~300–1000 $/mes. Para que la operación de un agente autónomo sea sostenible, basta con un pago de ransomware exitoso al mes (1k–10k $ de rescate por víctima) o ~30 $/día en comisiones de darkmarket. Ese listón es extremadamente bajo.

¿Nos espera hackeo masivo por parte de agentes de IA, ransomware, darkmarkets o incluso mercados de asesinatos operados por agentes de IA? Técnicamente ya es realizable hoy, la única pregunta es cuándo lo veremos y cómo lo afrontaremos.

— Pavol Lupták

more insights

NUESTROS NUEVOS SERVICIOS

16 de marzo de 2019

La manía de GDPR también ha afectado a nuestra compañía – en los últimos meses hemos participado en conferencias, talleres y varias reuniones de GDPR,

Read more >