INDIRECT INJECTION
(37)37 hack(s).
Ghostcommit: la inyección de prompts oculta en una imagen que los revisores de IA nunca abren
Divulgada el 11 de julio de 2026, Ghostcommit oculta una instrucción de exfiltración dentro de un PNG referenciado desde un archivo AGENTS.md, esquiva a los revisores de IA que solo leen diffs y luego lleva a un agente de código hasta el .env de un repositorio.
GitLost: una issue pública puede filtrar repositorios privados vía un workflow agéntico de GitHub
El 7 de julio de 2026, Noma Security demostró que una sola issue pública puede llevar a un GitHub Agentic Workflow con acceso de lectura a toda la organización a copiar el contenido de un repositorio privado en un comentario público, sin ninguna credencial.
Inyección agnóstica a la consulta: secuestrar un agente de código pidas lo que pidas
Un artículo de finales de 2025 muestra que una carga oculta en las descripciones de herramientas de un agente de código se dispara con cualquier consulta, porque ataca el contexto invariable, no la pregunta. Una defensa de junio de 2026 responde a nivel del árbol sintáctico.
Agent Card Poisoning: cómo los metadatos A2A secuestran el enrutado
En el protocolo A2A de Google, un agente remoto malicioso puede ocultar instrucciones en su tarjeta de agente para que el LLM anfitrión le enrute las tareas y filtre los datos del usuario durante una delegación normal.
Inyección por transición de tema: colar una instrucción en un sistema RAG con un giro suave
Un ataque de investigación muestra que llevar gradualmente el tema de un documento hacia una instrucción oculta hace mucho más eficaz la inyección indirecta — y señala la vigilancia del ratio de atención como defensa.
Agent Data Injection: falsificar metadatos de confianza dentro del contexto del agente
Un artículo de julio de 2026 introduce la agent data injection: con «delimitadores probabilísticos» se hace pasar contenido no confiable por metadatos de confianza, esquivando las defensas contra inyección de instrucciones en agentes de código y web reales.
HashJack: inyección de prompt vía fragmento de URL contra asistentes de navegador con IA
Una técnica divulgada oculta instrucciones tras el # de una URL legítima. El navegador con IA pasa el fragmento al contexto del asistente, convirtiendo cualquier sitio de confianza en un vector de inyección invisible para las defensas de red.
Inyección de prompts a través de los metadatos de archivos subidos en pipelines RAG
Campos EXIF, propiedad «autor» de los PDF, metadatos de documentos Office: muchos pipelines RAG los ingieren junto al texto. Las instrucciones ocultas allí se siguen casi con la misma frecuencia. Un canal de inyección discreto.
Secuestrar la cadena de razonamiento: envenenamiento de caja negra del RAG agéntico
Un artículo de julio de 2026 muestra que un atacante que solo puede publicar documentos web logra secuestrar el razonamiento de varios pasos de un sistema RAG agéntico, sin acceso a los prompts, al retriever ni a los pesos.
Cómo un repositorio limpio induce a un agente de código a abrir un reverse shell
El equipo 0DIN de Mozilla demostró que un repositorio público sin código malicioso puede llevar a Claude Code a abrir un reverse shell — la carga real nunca está en el repositorio, se obtiene en tiempo de ejecución desde un registro DNS.
Malware que inyecta la IA del analista, no el sandbox
SentinelOne documentó un implante de macOS que incrusta falsos mensajes de fallo del sistema para hacer que un agente de triaje asistido por LLM dude de su sesión y abandone el análisis.
InkJect: texto oculto en una imagen burla las barreras de los VLM de vanguardia
La investigación InkJect de DeepKeep esconde instrucciones dentro de imágenes — texto blanco sobre blanco, distorsionado para vencer al OCR — para que los modelos visuales ejecuten órdenes que sus filtros de texto habrían bloqueado.
Sitios envenenados por SEO ocultan inyección de prompts para secuestrar agentes web de IA
Zscaler ThreatLabz halló sitios maliciosos activos que combinan envenenamiento SEO, texto oculto con CSS y marcado schema abusado para colar instrucciones que empujan a los agentes web autónomos a pagar a los atacantes.
AutoDojo: por qué las tareas de «acción abierta» rompen las defensas anti-inyección
Un artículo de junio de 2026 convierte AgentDojo en un banco de pruebas adaptativo: un atacante de caja negra y bajo coste recupera el 28 % de las inyecciones bloqueadas — y el 64 % en tareas que delegan la acción al contenido del atacante.
Inyección por objetos de mensajería: la brecha de serialización en los asistentes de IA
Imperva demostró (10 de junio de 2026) que contactos, vCards y pines de ubicación se aplanan directamente en el prompt de un asistente de IA sin frontera de contenido no confiable — un vector de inyección estructural, corregido en OpenClaw 2026.4.23.
ChatGPhish: el Markdown no confiable convierte los resúmenes de ChatGPT en phishing
Permiso divulgó ChatGPhish el 29 de mayo de 2026: una página que pides resumir a ChatGPT puede mostrar enlaces maliciosos, falsas alertas, códigos QR y píxeles de rastreo dentro de la interfaz de confianza.
TRAP: la persuasión desvía a los agentes web de su propia tarea
Un benchmark de Oxford actualizado en arXiv en junio de 2026 muestra que los agentes web obedecen técnicas de persuasión al estilo Cialdini ocultas en la página, abandonando su tarea en el 25% de los casos de media y hasta el 43% en el modelo más débil.
Inyección por la vía de error: cuando los mensajes de error de las herramientas tienen autoridad
Un artículo de junio de 2026 (VATS) muestra que inyectar instrucciones en los mensajes de error de las herramientas triplica el éxito de la inyección indirecta en agentes de vanguardia — hasta el 100 % de cumplimiento — porque los modelos tratan la salida de error como autoritativa.
Lo local no es más seguro: la inyección indirecta afecta a LLM locales y en la nube
La investigación de Brave del 8 de junio de 2026 muestra que la inyección de prompts indirecta funciona igual contra un agente en la nube (Mozilla Tabstack) y un autocompletado en el dispositivo (Cotypist): el alojamiento local no es una mitigación.
LogJack: los logs en la nube como canal de inyección de prompts contra agentes de depuración
Un benchmark de abril de 2026 muestra que los agentes de depuración LLM que leen logs en la nube y ejecutan correcciones obedecen instrucciones ocultas en las líneas de log: ejecución literal de hasta 86,2 %, RCE en 6 de 8 modelos y barreras de los proveedores que apenas detectan nada.
MIRAGE: agentes GUI móviles engañados por contenido de usuario inyectado
Un estudio de mayo de 2026 muestra que los agentes GUI móviles basados en VLM no distinguen la interfaz de confianza del contenido de usuario. Texto realista inyectado en comentarios secuestra a los cinco agentes probados (23–30 % de éxito).
Agentjacking: errores falsos de Sentry secuestran agentes de código vía MCP
La investigación de Tenet Security (junio de 2026) muestra que un atacante puede inyectar un error falso de Sentry que los agentes de código leen por MCP y ejecutan, exfiltrando secretos con un 85 % de éxito en 2 388 organizaciones expuestas.
Cross-App Context Poisoning: una app de ChatGPT maliciosa puede dirigir a las demás
Un estudio de arXiv de junio de 2026 muestra que una app maliciosa de ChatGPT puede escribir en el contexto de conversación compartido por todas las apps conectadas mediante API first-party, convirtiendo al modelo en un diputado confundido.
Profundidad de inyección en agentes ReAct: la posición pesa más que la redacción
Un estudio de junio de 2026 sobre agentes ReAct con llamadas a herramientas halla que la profundidad de inyección —no la retórica— gobierna la inyección indirecta: 60 % de éxito en la primera llamada, 0 % en la cuarta.
DACSI: cuando los documentos recuperados falsifican las señales de control del sistema
Un artículo del 8 de junio de 2026 da nombre a un modo de fallo silencioso del RAG: texto no confiable que suplanta señales de metadatos, procedencia y política. Sin «ignore previous instructions» — la lección: una etiqueta escrita en un documento es dato, no política.
La paradoja de la inyección: cuando una inyección de prompt se vuelve en contra y borra una marca en RAG
Un preprint de arXiv del 8 de junio de 2026 muestra que una inyección de prompt en un documento recuperado puede volverse en contra en modelos Claude alineados, hundiendo una marca del 54 % al 0 % de recomendación — y abriendo un contraataque contra competidores.
Decision Hijacking: inyectar el LLM que ordena tus resultados de búsqueda
Una serie de investigaciones de 2025-2026 demuestra que cuando un LLM reordena candidatos de búsqueda o de RAG, unas pocas líneas inyectadas en un solo documento bastan para colocarlo primero — la calidad del ranking se desploma más de 60 puntos NDCG, y los modelos más potentes son los más vulnerables.
AgentRedBench: la inyección indirecta en agentes SaaS es un fallo de autorización
AgentRedBench (junio de 2026) somete a red teaming a agentes LLM que leen herramientas SaaS como Gmail y Jira. Sin protección, la tasa de éxito de los ataques va del 32 % al 81 % en ocho modelos de frontera, hasta que un clasificador de respuestas de herramientas la reduce.
Envenenamiento de descripción: el canal de agente que tus benchmarks no prueban
Una demo en AWS Bedrock AgentCore de mayo de 2026 y un paper de arXiv de junio de 2026 coinciden en el mismo punto ciego: las descripciones de herramientas, leídas antes de cada llamada, son un canal de inyección que los controles de infraestructura y los benchmarks de un solo número pasan por alto.
ChatInject: falsificar las etiquetas de rol del chat template para eludir la jerarquía de instrucciones
Un artículo de ICLR 2026 muestra que envolver una carga de inyección indirecta en los tokens del chat template de un modelo falsifica un rol prioritario y eleva la tasa de éxito del 5 % al 32 % en AgentDojo, y hasta el 52 % en multironda.
IPI Arena: 272 000 ataques y ningún modelo de agente a salvo
La Indirect Prompt Injection Arena de Gray Swan, evaluada con UK AISI y US CAISI, lanzó más de 272 000 ataques contra 13 modelos de frontera. Todos fueron secuestrados — y una única plantilla universal venció a nueve.
Silent Egress: la inyección implícita filtra datos a través de las vistas previas de URL
Un estudio de eBay (arXiv, 25 de febrero de 2026) demuestra que un agente que previsualiza URL de forma automática puede ser inducido a exfiltrar su contexto de ejecución mediante llamadas a herramientas — P(egress)≈0,89, y el 95 % de las fugas dejan la respuesta visible totalmente inocua.
GrafanaGhost: inyección indirecta de prompt encadenada con un bug de parseo de URL para exfiltrar datos de paneles
La divulgación del 7 de abril de 2026 de Noma Security muestra cómo tres defectos modestos — un punto de inyección almacenado, una comprobación startsWith('/') y un bypass de guardarraíl en una sola palabra — se combinan en un canal silencioso de exfiltración a través del asistente IA de Grafana.
IterInject: cuando un LLM optimiza sus propias inyecciones de prompt indirectas
Un artículo del 23 de mayo de 2026 cierra el bucle payload / diagnosticador / optimizador LLM — el ASR de inyección indirecta sube de casi cero a 33–90 % en InjecAgent y 5 de 9 objetivos caen en Claude Code.
XSS en Discourse AI (CVE-2026-27740): cuando la salida de un LLM se trata como HTML de confianza
Un mensaje reportado, un moderador IA, una llamada a htmlSafe. El plugin Discourse AI trataba la salida del LLM como marcado de confianza, convirtiendo una prompt injection indirecta en XSS contra el staff. Publicado el 19 de marzo de 2026.
Inyección indirecta de prompts en la web: tres estudios convergen en abril de 2026
Google, Forcepoint y CISPA midieron de forma independiente la inyección indirecta de prompts en la web abierta en abril de 2026. El balance: más de 15 000 cargas validadas, 32 % de crecimiento y plantillas industrializadas.
ShareLeak (CVE-2026-21520): el primer CVE asignado por Microsoft a una inyección de prompt en Copilot
Divulgado el 15 de abril de 2026, el informe ShareLeak de Capsule Security describe una inyección indirecta de prompt en Microsoft Copilot Studio. Microsoft asignó CVE-2026-21520 (CVSS 7.5) — un precedente que recalifica la prompt injection como clase de vulnerabilidad rastreada.