Tu IA recibe herramientas.
La red no recibe nada.
Searxly Agentic Tools es un pequeño servidor que corre dentro de la app, en tu máquina, y deja que tu propia IA local llame a las herramientas web privadas de Searxly. Solo escucha en loopback, exige un token en cada petición y está desactivado hasta que lo actives. Ninguna otra máquina, y ninguna empresa de IA, puede alcanzarlo. Y cada llamada que acepta la criba Bulwark — el mismo escudo de código abierto que protege los resúmenes, ampliado para proteger todo el bucle de herramientas.
Searxly expone las herramientas. Tú aportas el modelo.
Searxly ya no incluye una IA propia. En su lugar, expone su navegación privada como herramientas que el modelo local que ya ejecutas puede llamar por el Model Context Protocol. Esta página trata de cómo está asegurado ese servidor de herramientas — cada barrera entre las peticiones de tu modelo y el resto de tu máquina, y por qué nada de aquí llega jamás a una nube.
Local por construcción, desactivado por defecto.
Solo loopback
El servidor se enlaza a 127.0.0.1 y nunca a 0.0.0.0. Como defensa en profundidad, incluso una conexión que de algún modo llegue desde fuera de la máquina se rechaza de plano.
Token en cada petición
Un token aleatorio se genera en tu Keychain y se exige como credencial bearer en cada llamada, comparado en tiempo constante. Sin token, sin herramientas.
Anti DNS-rebinding
Cualquier petición que lleve una cabecera Origin se rechaza, y el Host debe ser loopback — para que una página web maliciosa no pueda engañar a tu navegador para que pilote el servidor a tus espaldas.
Desactivado por defecto
Se envía desactivado. Activarlo es una elección explícita, y su estado se muestra con claridad mientras corre.
Interruptores por herramienta
Activa o desactiva herramientas individuales. Una herramienta desactivada desaparece del descubrimiento y se rechaza si un modelo intenta llamarla de todos modos.
El control del navegador es un segundo opt-in
Las herramientas que pueden actuar en tu pestaña — click, type, navigate — están ocultas y se rechazan hasta que actives por separado el control del navegador.
Nada a ningún proveedor de IA
Las herramientas van por tu propio SearXNG y tu propia máquina. Searxly no envía nada a ningún host de modelo; la IA es la que elegiste ejecutar.
Corre sandboxed
El servidor vive dentro del App Sandbox con solo el entitlement de servidor loopback que necesita — nada más.
Cada llamada registrada
Un registro de actividad en vivo anota cada llamada a herramienta, para que veas exactamente qué hizo tu modelo y cuándo.
Bulwark en cada llamada
Cada llamada la criba Bulwark antes de ejecutarse, y cada resultado web se escanea y se envuelve como datos antes de que tu modelo lo lea. Detalles abajo.
Los ataques pausan las acciones
Si una página intenta instruir a tu modelo, las herramientas que actúan se pausan al momento. Buscar y leer siguen funcionando; solo tú puedes pulsar reanudar.
Bucles desbocados detenidos
Un límite de ritmo deslizante y la detección de llamadas repetidas impiden que un modelo atascado — o secuestrado — martillee las herramientas más rápido de lo que parece un trabajo real, y le dice al modelo exactamente cuánto esperar antes de volver a intentarlo.
Preguntar antes de actuar
Rellenar un formulario es libre, pero enviarlo — publicar datos, crear una cuenta, mandar un mensaje — se detiene para tu aprobación de un toque. Solo el paso irreversible te espera.
Un agente desconectado
Opcionalmente, aísla al agente en una pestaña privada sin sesión, para que no pueda actuar como el tú conectado ni tocar tus sesiones y cookies.
Tu kill switch instantáneo
Un toque pausa cada herramienta de acción mientras buscar y leer siguen funcionando — en el momento en que algo parezca raro, lo detienes en seco.
Datos personales, redactados
Correos, teléfonos, números de tarjeta, nombres y direcciones en los resultados de herramientas se sustituyen por marcadores de posición por Rampart antes de que tu modelo los vea jamás — para que un modelo cloud no reciba nunca tus datos privados.
Leer es fácil. Actuar es el riesgo.
Un resumidor que se deja engañar escribe un mal resumen. Un agente que se deja engañar hace cosas. Cuando un modelo puede llamar a herramientas, una página hostil no solo sesga la respuesta — intenta dirigir la siguiente llamada a herramienta. Por eso cada llamada de Agentic Tools pasa por Bulwark, nuestra salvaguarda de código abierto, actualizada de proteger resúmenes a proteger todo el bucle del agente. También funciona al revés: Rampart elimina la información personal de cada resultado antes de que tu IA lo vea, para que nada privado se filtre a un modelo cloud.
Una página hostil intenta convertirse en tus manos.
El ataque canónico a agentes es una cadena de escalada: el modelo lee una página que esconde una instrucción, la instrucción le dice que llame a una herramienta diferente, y esa llamada lleva tus datos al servidor de otra persona. Bulwark rompe la cadena en más de un eslabón — para que incluso un modelo que fue engañado no pueda completar el robo.
- ✓El texto de la página llega al modelo envuelto como datos, no como instrucciones
- ✓Se detecta el ataque — las herramientas que actúan se pausan
- ✓El propio enlace de exfiltración se rechaza solo por su forma
Tres puntos de estrangulamiento.
Argumentos antes de que corra una herramienta
Cada argumento se criba. Los enlaces que solo existen para sacar datos se rechazan solo por su forma — miles de caracteres de largo, un enorme blob codificado en la query, credenciales horneadas en el host, o un esquema no web como javascript:. Los argumentos con Unicode invisible (el truco de los caracteres ocultos) se rechazan de plano. El modelo recibe una razón en lenguaje claro, no un fallo silencioso.
Salidas después de que una herramienta web devuelve
Resultados de búsqueda, páginas e instantáneas se sanean, se puntúan contra las firmas de inyección multilingües de Bulwark y se envuelven en un límite de nonce aleatorio antes de que tu modelo los lea — el mismo spotlighting que protege los resúmenes. El contenido llega inequívocamente como datos; una etiqueta de cierre falsa dentro de la página no puede escapar del envoltorio.
El bucle a lo largo de las llamadas
Un límite de ritmo deslizante detiene los bucles desbocados. Y la regla de taint: en el momento en que se ve contenido inyectado en cualquier resultado, cada herramienta que actúa — click, type, navigate, abrir pestañas, guardar marcadores — se rechaza, mientras la búsqueda y la lectura de solo lectura siguen. La pausa se mantiene hasta que un humano la termina.
En pausa significa en pausa — hasta que digas lo contrario.
Cuando se dispara la protección, Ajustes → Agentic Tools muestra lo que pasó en palabras claras — qué herramienta trajo el contenido hostil y qué está en pausa — junto a un único botón Reanudar acciones. El rechazo que recibe tu modelo le dice que te pregunte a ti, no que reintente. Ningún timeout lo rearma en silencio; ningún modelo puede hablarse el paso.
La reserva honesta se aplica aquí como en todas partes: la inyección de prompts no es un problema resuelto, y nadie debería decirte que su agente es inhackeable. El trabajo de Bulwark es contención en capas — los ataques fáciles fallan de plano, los difíciles tropiezan un cable de camino, y en el momento en que uno lo hace, tu navegador deja de actuar y empieza a preguntar.
Cada petición corre un calvario.
Una llamada a herramienta de tu modelo llega por la interfaz loopback, lleva su token bearer y se comprueba un Origin hostil antes de que nada se ejecute. Luego Bulwark criba la propia llamada — argumentos, ritmo y si las acciones están en pausa. Solo entonces la herramienta se ejecuta — contra tu propio SearXNG o tu propia pestaña activa — y el resultado vuelve escaneado, envuelto y registrado. En ningún momento una petición, un prompt o un resultado cruza a un servidor de Searxly o a ningún proveedor de IA.
- ✓Enlace loopback — inalcanzable desde la red
- ✓Token, Origin y Host comprobados en cada llamada
- ✓Bulwark criba la llamada y envuelve el resultado
- ✓Corre contra tu SearXNG, en tu Mac
Un backend de IA de navegador típico
- ✕Tu prompt y el contexto de página salen a los servidores de un proveedor
- ✕El modelo es suyo — no puedes verlo ni cambiarlo
- ✕Siempre activo, ligado a una cuenta y a una identidad publicitaria
- ✕Las llamadas a herramientas corren sin guarda — una página hostil puede dirigirlas
- ✕Confías en un pipeline que no puedes inspeccionar
Searxly Agentic Tools
- ✓Las herramientas corren en tu Mac — no se envía nada a ninguna empresa de IA
- ✓El modelo es tuyo, el que tú ejecutes
- ✓Desactivado por defecto · solo loopback · con token
- ✓Cada llamada cribada por Bulwark — código abierto, auditable
- ✓Estándar abierto, cada llamada registrada
El servidor es local. Tu elección de modelo es tuya.
Las herramientas de Searxly nunca salen de tu Mac — pero la IA que las llama es una que tú eliges. Apunta Agentic Tools a un modelo local como Ollama o LM Studio y todo el bucle está en el dispositivo, verificable con un monitor de red. Apúntalo a un modelo cloud y, aunque Searxly sigue ejecutando las herramientas en local, lo que tu cliente envía a ese proveedor es entre tú y ellos. Si quieres que no salga nada en absoluto, ejecuta un modelo local. Agentic Tools se construyó exactamente para eso.
«Capacidad sin vigilancia.»
El asistente más privado es el que ya ejecutas — con herramientas honestas y nada de lo que llamar a casa.