Patronus: un firewall local para el tráfico de IA en tu dispositivo

Cada vez que una aplicación de IA envía un prompt a una API externa, ese tráfico sale de tu máquina sin que puedas ver exactamente qué contiene ni adónde va. Para la mayoría de usuarios eso es invisible por diseño. Patronus aparece precisamente para hacer ese flujo auditable y, si hace falta, bloquearlo.

El proyecto se presentó esta semana en Hacker News con la etiqueta «free» y sin apenas comentarios aún, lo que sugiere que está en fase muy temprana de adopción. Sin embargo, la propuesta es lo suficientemente concreta como para merecer atención: un proxy local, instalable en el propio dispositivo, que intercepta el tráfico entre clientes de IA —Claude Code, aplicaciones con MCP servers, agentes autónomos— y los endpoints remotos a los que se conectan.

Qué hace exactamente

Patronus se sitúa entre la aplicación de IA y la red. Su funcionamiento es similar al de herramientas de inspección HTTP como Charles Proxy o mitmproxy, pero orientado específicamente al ecosistema de modelos de lenguaje:

• Inspección de llamadas: muestra qué se envía a cada API, incluyendo el contenido de los prompts y los parámetros de la solicitud.
• Control de tráfico: permite definir reglas para bloquear o modificar llamadas según criterios configurables (destino, contenido, frecuencia).
• Registro local: guarda un histórico de todas las interacciones sin que esos datos salgan del dispositivo.

En el contexto de Claude Code con MCP servers activos, esto tiene una utilidad práctica inmediata. Un subagente que ejecuta herramientas externas puede hacer decenas de llamadas en segundo plano; con Patronus esas llamadas son visibles y auditables antes de que lleguen al servidor.

Por qué importa ahora

El modelo de trabajo con agentes autónomos ha normalizado que el software tome decisiones de red sin intervención humana directa. Los hooks de Claude Code permiten ejecutar comandos shell en eventos del ciclo de vida del agente, los MCP servers amplían las capacidades de herramienta, y los subagentes delegan tareas de forma encadenada. Todo eso es potencia útil, pero también superficie de exposición.

El problema no es necesariamente malicia: es opacidad. Un skill mal configurado, un MCP server de terceros que envía más contexto del necesario, o simplemente querer auditar qué ve el modelo de tus ficheros locales antes de que suba nada. Patronus aborda ese problema desde la capa de red, sin tocar la configuración interna de la aplicación.

La propuesta de valor se dirige principalmente a tres perfiles:

• Desarrolladores que construyen integraciones con Claude Code y quieren depurar el tráfico de sus agentes sin instrumentar cada llamada manualmente.
• Equipos de seguridad en empresas que han desplegado herramientas de IA pero necesitan visibilidad sobre qué datos salen hacia APIs externas.
• Usuarios avanzados con preocupaciones de privacidad que quieren entender qué comparte su cliente de IA antes de confiar en él con documentos sensibles.

Lo que aún no está claro

La página de Patronus es escueta en detalles técnicos en este momento. No queda del todo claro cómo gestiona el tráfico HTTPS (si requiere instalar un certificado raíz propio, que es el enfoque habitual para inspección TLS pero que introduce sus propias consideraciones de seguridad), ni qué ocurre con el rendimiento cuando se procesan streams de tokens en tiempo real, que es el caso habitual con Claude.

Tampoco hay documentación publicada sobre compatibilidad específica con claude_desktop_config.json o con el protocolo MCP. Dado que la herramienta apareció esta semana en Hacker News con apenas tracción inicial, es razonable asumir que estas respuestas llegarán a medida que el proyecto madure.

Opinión EP

La idea de un firewall local centrado en tráfico de IA es sensata y llegaba con retraso: el ecosistema de agentes ha crecido más rápido que las herramientas de observabilidad que lo rodean. Patronus merece seguimiento, aunque convendría esperar a que publique documentación técnica antes de desplegarlo en entornos de producción.