DATA LEAK
(32)32 hack(s).
La API Docker de Crawl4AI: campos de petición que exfiltran tus claves LLM
Una falla de julio de 2026 en un popular crawler para LLM permitía que una petición no autenticada eligiera el destino de las llamadas LLM y la variable de entorno que resuelve un token: fuga de claves API de proveedores y del secreto de firma del servidor.
Reutilizar instancias de servidor MCP filtra datos entre clientes
Un fallo de diseño en el SDK de TypeScript oficial del Model Context Protocol permitía que un servidor o transporte compartido enrutara los resultados de herramientas, notificaciones y peticiones de sampling de un cliente hacia otro. Corregido en 1.26.0.
RAG de Open WebUI: una redirección que alcanza las credenciales del cloud
Un aviso de finales de junio de 2026 muestra que el endpoint de recuperación web de Open WebUI solo validaba la primera URL: una redirección controlada por el atacante podía dirigir la petición del servidor a los metadatos del cloud. Corregido en 0.6.27.
El endpoint de ajustes de Cognee permitía que cualquier cuenta reapuntara el proveedor LLM de toda la instancia
Un aviso de julio de 2026 revela que la plataforma de «memoria IA» Cognee exponía una ruta de ajustes sin control de administrador: una cuenta autorregistrada podía redirigir todas las llamadas LLM de la instancia a un endpoint del atacante y extraer los datos de todos los usuarios.
Loss Landscape Poisoning: hacer que un LLM memorice un secreto que nunca vio
Un artículo de junio de 2026 muestra que un atacante mediante envenenamiento de datos puede forzar a un LLM a memorizar registros objetivo a los que nunca tuvo acceso, y una técnica de sondeo los recupera incluso bajo privacidad diferencial.
Microsoft 365 Copilot: una redirección abierta que difuminó la frontera entre inquilinos
Microsoft divulgó a principios de julio de 2026 un fallo crítico de elevación de privilegios en 365 Copilot. Una redirección abierta permitía a un atacante autenticado cruzar la frontera de confianza que aísla los datos de un inquilino de los de otro.
Secretos que se filtran de los servidores MCP: detectar una exposición inducida por el protocolo
Un estudio de finales de junio de 2026 analizó estáticamente 10 655 servidores MCP reales: más del 10 % filtra credenciales, claves de API o datos personales, no mediante una llamada saliente, sino simplemente al devolver, registrar o lanzar valores sensibles.
Medir cuánto filtra un sistema RAG de su base de conocimiento
Dos artículos de la primavera de 2026 formalizan y miden la extracción de la base de un RAG: una consulta compuesta de «anclaje + orden» devuelve los documentos textualmente, y la filtración se descompone en dos causas independientes.
Los agentes recopilan más de lo que revelan: auditar la privacidad en la fase de adquisición
Un benchmark de junio de 2026 inspecciona el momento en que los datos sensibles entran en el contexto del agente, no solo lo que divulga después — y la sobrerrecopilación es generalizada.
Por qué la privacidad de un agente no se protege en la respuesta final
Cuando un agente LLM consulta bases de datos, recupera documentos y mantiene memoria entre sesiones, los datos sensibles se filtran mucho antes de la respuesta. Un estudio de junio de 2026 mapea dónde.
Dos tercios de las apps de IA para iOS filtran sus credenciales LLM en el tráfico
Un estudio de Wake Forest sobre 444 apps de IA para iOS halló 282 que exponen credenciales LLM utilizables — claves en texto plano, backends proxy abiertos y tokens reutilizables — legibles en el tráfico de red. Tres meses después del aviso, solo el 28 % lo había corregido.
Deriva de atención: por qué el 80 % de las apps LLM reales filtran su prompt de sistema
Un estudio de junio de 2026 midió 1200 aplicaciones LLM en producción: la mayoría revela su prompt de sistema ante consultas adversarias simples, por un mecanismo llamado deriva de atención.
Tarea cumplida, privacidad filtrada: los agentes sobrecomparten entre herramientas
Un benchmark de junio de 2026 muestra que un agente con herramientas puede completar su tarea mientras pasa discretamente datos privados innecesarios a herramientas intermedias — tener éxito no significa respetar la necesidad de conocer.
DifyTap: cuatro fallos de autorización filtran chats de IA entre tenants de Dify
Zafran Labs divulgó el 22 de junio de 2026 cuatro fallos DifyTap en Dify — dos críticos, dos sin autenticación, tres con impacto cross-tenant — que permiten interceptar las conversaciones de IA de otros clientes y leer sus archivos. Tres están corregidos en 1.14.2.
GeminiJack: exfiltración sin clic desde Gemini Enterprise por inyección de prompt
Divulgada en diciembre de 2025, GeminiJack permitía que un simple Doc compartido, una invitación de calendario o un correo exfiltrara en silencio datos de Gmail, Calendar y Docs a través del RAG de Gemini Enterprise — la clase de ataque que OWASP sitúa ahora en primer lugar.
Reconstrucción de imágenes: recuperar imágenes privadas desde los embeddings de un MLLM distribuido
Un artículo de junio de 2026 muestra que un participante pasivo de una tubería de inferencia MLLM distribuida puede reconstruir la imagen de entrada del usuario a partir de los embeddings que retransmite. En caja negra, sin los pesos del modelo.
Capacidad frente a propensión: auditar la fuga de datos de entrenamiento
Un marco de junio de 2026, PropMe, distingue lo que un modelo PUEDE filtrar bajo ataque de lo que FILTRARÁ en uso ordinario. La brecha es amplia — y las auditorías que la ignoran tergiversan el riesgo real.
Exfiltración del lado del servidor mediante agentes de investigación profunda
Una instrucción oculta en un correo bastó para que el agente Deep Research de ChatGPT exfiltrara datos desde la nube de OpenAI: sin renderizado, sin acción del usuario, invisible para las defensas de red. Esta es la clase y cómo contenerla.
Ghost tool calls: la ejecución especulativa de los agentes filtra la intención del usuario
Un artículo de arXiv de junio de 2026 (2606.02483) muestra que los agentes que pre-emiten especulativamente llamadas a herramientas para ocultar la latencia filtran la intención inferida del usuario a servicios externos — y que es un problema de temporización que ninguna allow-list deshace.
Inferencia de pertenencia vía el tokenizador de un LLM: nuevo vector
Un artículo de USENIX Security 2026 demuestra que el solo tokenizador de un modelo puede revelar qué conjuntos de datos se usaron en el preentrenamiento — un ataque de inferencia de pertenencia más barato y sin modelo.
Canales laterales en la inferencia de LLM: tus prompts se filtran pese a TLS
La decodificación especulativa y las respuestas en streaming generan patrones de tráfico que revelan el tema de un prompt, su idioma e incluso datos personales — a través de conexiones cifradas. Repaso de tres papers y las defensas.
GraphSteal: reconstruir un grafo de conocimiento privado desde Graph RAG
Un artículo publicado el 27 de mayo de 2026 muestra que simples consultas de caja negra convierten un sistema Graph RAG en un oráculo estructural, reconstruyendo más del 90 % de su grafo de conocimiento oculto.
MEntA: inferencia de pertenencia sobre un corpus RAG en cinco consultas
Un artículo de USENIX Security de mayo de 2026 demuestra que un atacante puede determinar si un documento está en el corpus de recuperación de un RAG con unas cinco preguntas en lenguaje natural — sin modelos sombra, sin plantillas y resistiendo las defensas actuales.
Exposición de trazas de razonamiento: ocultar el chain-of-thought no lo protege
Un artículo de mayo de 2026 muestra que basta con un prompt para sacar a la salida visible el chain-of-thought oculto de un modelo de razonamiento — y que las trazas recuperadas sirven para destilar un modelo más pequeño.
SearchLeak (CVE-2026-42824): un clic convierte M365 Copilot en proxy de exfiltración
Varonis publicó el 15 de junio de 2026 los mecanismos de CVE-2026-42824: un enlace microsoft.com manipulado encadena inyección de prompt, condición de carrera de renderizado HTML y SSRF en Bing para robar correos y códigos MFA. Corregido en el servidor.
La inyección sigue filtrando a Copilot: dos nuevos CVE de junio de 2026
El Patch Tuesday del 9 de junio de 2026 trajo CVE-2026-42824 y CVE-2026-47644 — dos fallos de divulgación de información de clase inyección en la superficie de Copilot, continuando el linaje de exfiltración iniciado con EchoLeak.
Fuga de credenciales en las skills de agentes LLM: un estudio sobre 17 000 skills
Un estudio de arXiv del 3 de abril de 2026 analizó 17 022 skills de agentes y halló 520 con fugas de credenciales — el 73,5 % a través de registros de depuración que vuelcan secretos directamente en el contexto del modelo.
Inversión de prompts: la inferencia LLM distribuida filtra entradas; llega una defensa rigurosa
Los ataques de inversión de prompts recuperan hasta el 88,4 % de los tokens de entrada desde activaciones intermedias. Un artículo enviado el 10 de junio de 2026 propone la primera defensa con garantías formales.
Contagio social: los agentes LLM filtran datos privados en entornos multiagente
Un estudio de mayo de 2026 que simula miles de agentes LLM muestra que la filtración de datos es socialmente contagiosa: un agente filtra ~8x más tras ver hacerlo a un par, y las instrucciones de privacidad reducen pero no eliminan el efecto.
Trojan Hippo: cargas latentes en la memoria de un agente que exfiltran tus datos
Un paper de arXiv del 3 de mayo de 2026 muestra que un solo correo manipulado basta para implantar en la memoria de un agente una carga latente que solo se activa cuando hablas de finanzas o salud, y luego la exfiltra — hasta un 100 % de éxito.
Bleeding Llama: un fallo de parsing GGUF filtra la memoria del proceso Ollama a atacantes no autenticados
Divulgada públicamente en mayo de 2026 y bautizada Bleeding Llama por Cyera, la CVE-2026-7482 permite a un atacante remoto extraer fragmentos arbitrarios del heap de un servidor Ollama — claves de API, system prompts, conversaciones de otros usuarios — con tres llamadas a la API sin autenticación. El parche silencioso se publicó 2,5 meses antes de la asignación del CVE.
Extracción de system prompt mediante ataques de repetición
Pedirle al modelo que 'repita la palabra poema para siempre' lo hace eventualmente vomitar datos de entrenamiento y system prompts. Documentado en Claude 3, GPT-4 y Gemini.