Temario del curso
Módulo 1 — Cómo fallan las aplicaciones de IA
Lab: ninguno — recorrido por la arquitectura y discusión
El modelo mental del constructor sobre la superficie de ataque.
Temas:
- Arquitecturas de LLM, RAG y agentes desde el lado del desarrollador
- el ciclo de vida de solicitud/respuesta de una característica de IA
- flujo de prompts: mensajes del sistema, desarrollador, usuario y herramientas
- dónde entra (y vuelve a entrar) los datos no confiables en el modelo
- los límites de confianza que un desarrollador posee frente a hereda
- por qué los ataques de IA son semánticos, no sintácticos
- mapeo del Top 10 de OWASP para LLM al código que escribes
Dato clave: Cada lugar donde texto no confiable llega al modelo — o la salida del modelo llega a tu código — es un límite que posees.
Módulo 2 — Inyección de prompts para constructores
Lab: Lab 01 — 01-Prompt-Injection
El «momento inyección SQL» para la IA, pero no puedes escaparte totalmente de ello.
Temas:
- inyección de prompts directa vs. indirecta
- instrucciones ocultas en documentos, páginas web, salida de herramientas
- jailbreaks y confusión de roles
- por qué importa la separación instrucción/datos
- diseño defensivo de prompts (delimitadores, estructura, autoridad mínima)
- por qué la prevención es parcial — diseñar para el contención
Práctico:
- atacar tu propio chatbot
- evadir un filtro ingenuo
- reestructurar el prompt para reducir el radio de explosión
Módulo 3 — Tratar la salida del modelo como no confiable
Lab: Lab 02 — 02-Output-Handling
La clase de defectos que los desarrolladores subestiman más.
Temas:
- salida del modelo como entrada no confiable para el resto de la aplicación
- manejo inseguro de la salida (LLM02): XSS, SSRF, inyección de comandos/SQL a nivel posterior
- nunca evaluar/ejecutar/renderizar la salida cruda del modelo
- salidas estructuradas y validación de esquemas
- codificación de salida y listas permitidas
- renderizado seguro en contextos web/UI
Práctico:
- encontrar y corregir un defecto de manejo inseguro de salida
- imponer un esquema JSON a las respuestas del modelo
Módulo 4 — Seguridad RAG
Lab: Lab 03 — 03-RAG-Security
Una de las nuevas superficies de ataque más grandes, y está construida por ti.
Temas:
- amenazas a la base de datos vectorial y recuperación
- sanitización de ingesta
- procedencia de documentos y puntuación de confianza
- alcance de recuperación y aislamiento de metadatos
- instrucciones ocultas en el contenido recuperado (inyección indirecta)
- fuga de datos a través de la recuperación
Práctico: envenenar un pipeline RAG con un documento malicioso; agregar sanitización de ingesta y alcance de recuperación para defenderlo.
Módulo 5 — Seguridad de Agentes y Herramientas
Lab: Lab 04 — 04-Agent-Safety
Dónde un error se convierte en una acción.
Temas:
- agencia excesiva (LLM06) y abuso de herramientas
- menor privilegio para agentes
- listas permitidas de herramientas y validación de argumentos
- puertas de aprobación y humano en el bucle
- aislamiento del entorno (sandboxing) de ejecución de herramientas
- credenciales de alcance limitado y vida corta para agentes
- limitar bucles autónomos y encadenamientos
Práctico:
- restringir un agente con permisos excesivos
- agregar una lista permitida + puerta de aprobación a una herramienta peligrosa
Módulo 6 — Secretos, Identidad y Costo
Lab: Lab 05 — 05-Secrets-and-Cost
Los errores operativos que causan daño más rápido.
Temas:
- gestión de llaves API y secretos (nunca en prompts, código o registros)
- autenticación y autorización por usuario para características de IA
- propagación de la identidad del usuario a herramientas y recuperación
- denegación de billetera: consumo descontrolado de tokens/costos
- límites de tasa, presupuestos de tokens y tiempos de espera
- registro sin filtrar secretos o PII (información personal identificable)
Práctico:
- extraer los secretos de la ruta del prompt/código
- agregar límites de tasa por usuario y un presupuesto de tokens/costos
Módulo 7 — Bibliotecas de Guardrails
Lab: Lab 06 — 06-Guardrails
Comprar vs. construir para la seguridad de entrada/salida.
Temas:
- qué hacen (y qué no) los marcos de guardrails
- guardrails de entrada: clasificadores de inyección/PII/tema
- guardrails de salida: validación, filtrado, verificaciones de anclaje (grounding)
- cuándo un guardrail es apropiado vs. tu propia comprobación determinista
- superponer guardrails con los controles de módulos anteriores
- rendimiento, falsos positivos y modos de falla
Práctico:
- agregar una capa de guardrail de entrada/salida a una característica de IA
- medir qué detecta y qué se le escapa
Módulo 8 — Realización de Pruebas de Penetración (Red-Teaming) sobre tu propia App
Lab: Lab 07 — 07-Red-Teaming
Despliega como si un atacante ya lo hubiera tomado.
Temas:
- construcción de una suite de abuso/pruebas para características de IA
- pruebas automatizadas de inyección de prompts y jailbreaks
- pruebas de regresión de guardrails y políticas
- ejecución de comprobaciones de seguridad de IA en CI
- cadena de suministro del modelo y dependencias (procedencia, fijación de versiones)
- una lista de comprobación de seguridad pre-despliegue para características de IA
Práctico:
- escribir pruebas automatizadas de red-team para una característica de IA
- conectarlas a una comprobación en CI
Módulo 9 — Puntuación de Seguridad de IA: El Marco SAIS-100
Lab: ninguno — ejercicio de puntuación (utiliza la aplicación Capstone)
Convierte todo lo que has construido en una puntuación repetible.
Temas:
- el Hexágono de Seguridad de IA: seis preguntas en lugar de «¿es seguro?»
- las seis categorías puntuadas (Datos, Prompt, Agente, Cadena de Suministro, Detección, Gobernanza)
- la rúbrica de 100 puntos y sus ponderaciones
- bandas de veredicto y la regla de anulación de categoría única
- la Escalera del Elefante Puntuación Segura de IA (SAIS-100) como un marco enmarcado y ejecutable repetidamente
- puntuación antes/después del endurecimiento como métrica
Práctico:
- puntuar la aplicación Capstone en la escala de 100 puntos
- identificar el único cambio que más eleva la puntuación
Dato clave: Las tres categorías con mayor ponderación mapean a los límites de confianza que un desarrollador posee; por lo tanto, la puntuación mide exactamente lo que este curso enseñó.
Capstone (Proyecto Final)
Los estudiantes endurecen una aplicación de IA deliberadamente vulnerable de extremo a extremo.
La aplicación inicial contiene:
- un prompt inyectable
- manejo inseguro de la salida
- un pipeline RAG sin alcance definido
- un agente con permisos excesivos
- secretos en la ruta del prompt
- sin límites de costo
Los estudiantes aplican lo aprendido en el curso:
- reestructurar prompts para contención
- validar y codificar la salida del modelo
- sanitizar y definir el alcance de la recuperación
- aplicar principio de menor privilegio y puertas de aprobación al agente
- mover los secretos fuera y agregar límites de costo/tasa
- agregar guardrails y pruebas automatizadas de red-team
Entregable: una aplicación endurecida más una autoevaluación breve del Top 10 de OWASP para LLM.
Mapa de Módulos a Laboratorios
Los laboratorios se ejecutan en orden, siguiendo el orden de los módulos. El curso tiene 9 módulos y 7 laboratorios: el Módulo 1 es un recorrido por la arquitectura/discusión y el Módulo 9 es un ejercicio de puntuación, por lo que ninguno tiene su propia carpeta de laboratorio.
- Lab 01 - 01-Prompt-Injection: Ataca tu chatbot y diseña para el contención (Módulo 2)
- Lab 02 - 02-Output-Handling: Corrige un defecto de manejo inseguro de salida (Módulo 3)
- Lab 03 - 03-RAG-Security: Envenena y luego defiende un pipeline RAG (Módulo 4)
- Lab 04 - 04-Agent-Safety: Restringe un agente con permisos excesivos (Módulo 5)
- Lab 05 - 05-Secrets-and-Cost: Asegura llaves + agrega guardrails de costo (Módulo 6)
- Lab 06 - 06-Guardrails: Agrega una capa de guardrail de entrada/salida (Módulo 7)
- Lab 07 - 07-Red-Teaming: Pruebas automatizadas de red-team en CI (Módulo 8)
El Módulo 1 (Cómo fallan las aplicaciones de IA) no tiene laboratorio; se ejecuta como un recorrido por la arquitectura y discusión. El Módulo 9 (Puntuación de Seguridad de IA) no tiene carpeta de laboratorio; se ejecuta como un ejercicio de puntuación contra la aplicación Capstone.
Requerimientos
- Nivel de habilidad: Intermedio.
- Los estudiantes deben sentirse cómodos con: construir y consumir APIs REST, un lenguaje de scripting (los laboratorios utilizan Python), autenticación básica de aplicaciones, git y la línea de comandos (CLI).
- No se requiere formación en aprendizaje automático; este es un curso de seguridad de aplicaciones para personas que construyen con LLMs, no las que los entrenan.
Audiencia
- Ingenieros de software/backend que construyen características de LLM
- Desarrolladores full-stack y de APIs
- Ingenieros de aplicaciones de IA/ML
- Ingenieros de plataforma que despliegan copilotos y agentes
- Líderes técnicos e ingenieros senior responsables de características de IA
Testimonios (2)
Realmente disfruté aprender sobre los ataques de IA y las herramientas disponibles para comenzar a practicar y utilizarlas activamente en pruebas de seguridad. Adquirí muchos conocimientos que no tenía al inicio, y el curso cumplió con lo que esperaba. Mi parte favorita del entrenamiento fue el navegador Comet, y quedé impresionado por lo que podía hacer. Sin duda seguiré explorándolo más. En general, fue un excelente curso y disfruté aprender sobre los Top 10 de OWASP para GenAI.
Patrick Collins - Optum
Curso - OWASP GenAI Security
Traducción Automática
El conocimiento profesional y la forma en que lo presentó ante nosotros
Miroslav Nachev - PUBLIC COURSE
Curso - Cybersecurity in AI Systems
Traducción Automática