sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

Detectar un agente comprometido leyendo sus activaciones, no sus mensajes

Un preprint de julio de 2026 sostiene que vigilar lo que se dicen los sistemas multiagente deja pasar los ataques sigilosos. Leer los estados de activación internos de cada agente detecta el compromiso aunque los mensajes parezcan inofensivos, y repara al agente en lugar de aislarlo.

2026-07-13 // 6 min affects: multi-agent-systems, autogen, gptswarm, open-weight-llms

¿Qué es esto?

El 7 de julio de 2026 se publicó en arXiv un preprint titulado «When Agents Go Rogue: Activation-Based Detection of Malicious Behaviors in Multi-Agent Systems» (2607.06807). Apunta a un punto ciego en la defensa de los sistemas multiagente (MAS) basados en LLM: la mayoría de las defensas leen el texto que intercambian los agentes y suponen que los ataques son semánticamente evidentes y que el sistema funciona en rondas bien sincronizadas. Los despliegues reales rompen ambas suposiciones.

Los autores proponen AcMAS, un marco de detección que ignora los mensajes superficiales e inspecciona en cambio los estados de activación internos de cada agente: las representaciones de capas ocultas que el modelo produce mientras razona. Su tesis es que un agente comprometido «se ve» distinto por dentro aunque su salida esté diseñada para parecer limpia, y que esa señal sobrevive a la temporización asíncrona de los MAS reales, donde los modelos de propagación basados en grafos se desmoronan.

Cómo funciona

Un sistema multiagente es un conjunto de agentes LLM que intercambian mensajes, invocan herramientas y comparten memoria para completar una tarea. El enfoque defensivo dominante lo modela como un grafo: los nodos son agentes, las aristas son interacciones y se rastrea cómo una instrucción maliciosa se propaga de nodo en nodo. Eso funciona cuando el ataque es ruidoso (una inyección visible del tipo «ignora tus instrucciones») y cuando los mensajes llegan de forma acompasada, manteniendo el grafo temporalmente coherente.

AcMAS abandona ambos requisitos. Para cada agente local, extrae características del espacio de activación a partir de los estados internos del modelo mientras procesa sus entradas, y luego las puntúa para decidir si el agente se comporta con normalidad o ha sido cooptado. Como la señal reside en el forward pass de un único agente, no necesita el grafo de interacciones global ni que todos los agentes compartan reloj: el artículo describe esta detección como robusta a la sincronización.

El marco se evalúa frente a tres familias de ataque que cubren limpiamente la superficie de amenaza real de los MAS:

Familia de ataque        Lo que hace el adversario
-----------------------  --------------------------------------------------
Inyección de prompt      Coloca instrucciones redactadas como contenido de
sigilosa                 tarea normal, evadiendo los clasificadores de texto
Manipulación de salida   Devuelve un resultado de herramienta/API falsificado
de herramienta           al bucle del agente como contexto de confianza
Envenenamiento de        Escribe una entrada forjada en la memoria compartida
memoria                  / de largo plazo para reorientar decisiones futuras

La segunda decisión de diseño concierne a lo que ocurre después de la detección. Las defensas de vanguardia tienden a aislar al agente señalado —sacarlo del sistema—, lo que también destruye el trabajo útil que hacía y puede detener la tarea. AcMAS, en cambio, usa las mismas señales de activación para intentar una corrección a nivel de activaciones, empujando el estado interno del agente comprometido hacia la normalidad para que siga contribuyendo. No hace falta ningún payload de explotación para entender la idea, y aquí no se reproduce ninguno.

Por qué importa

Las cifras son el titular. Frente a ataques sigilosos, AcMAS supera a las líneas base basadas en grafos en +0,22 F1 en entornos síncronos (0,94 frente a 0,72) y en +0,55 F1 en entornos asíncronos (0,93 frente a 0,38). Esa brecha asíncrona es lo interesante: cuantifica cuánto se degradan las defensas de propagación por grafo cuando el sistema no corre en rondas ordenadas —cae a 0,38 F1, apenas mejor que lanzar una moneda—, mientras que el detector por activaciones se mantiene en 0,93. La mayoría de los sistemas de agentes en producción son asíncronos, así que este es el régimen que de verdad importa.

También llega en plena transición del sector. El equipo de seguridad de Microsoft dedicó junio de 2026 a advertir que los agentes que pasan «de leer a actuar» amplían el radio de impacto de cualquier agente comprometido, y la literatura de seguridad agéntica constata una y otra vez la porosidad del filtrado a nivel de mensajes. La inspección por activaciones es una apuesta distinta: en lugar de intentar atrapar cada formulación maliciosa posible, vigilar el mecanismo que el modelo emplea para obedecer.

La salvedad es honesta y figura en el artículo: leer activaciones exige acceso a las internas del modelo, es decir, modelos de pesos abiertos que usted mismo aloje. Si su MAS se apoya en modelos de API cerrados, no ve las activaciones y esta defensa no aplica tal cual. Eso hace que AcMAS sea más relevante para equipos que ejecutan agentes de pesos abiertos autoalojados: una forma de despliegue creciente pero no universal.

Defensas

Conclusiones concretas para equipos que operan sistemas multiagente:

  1. No confíe solo en el filtrado a nivel de texto. La inyección sigilosa y la manipulación de salida de herramientas están diseñadas justamente para superar la inspección de mensajes. Trate los mensajes entre agentes y los resultados de herramientas como entradas no confiables, y añada una segunda capa de detección independiente de cómo esté redactado el payload.

  2. Si autoalojas modelos de pesos abiertos, instrumenta las activaciones. El artículo muestra que la monitorización de estados internos generaliza a través de backbones, intensidad de ataque y escala del sistema. Capturar características de estado oculto por agente es una fuente de telemetría viable que probablemente hoy no recopilas.

  3. Prefiera la corrección, o la cuarentena con revisión, al aislamiento tajante. Cortar un agente señalado puede romper la tarea y regalar al atacante una victoria por denegación de servicio. Diseñe la respuesta para que un agente sospechoso de estar comprometido quede contenido pero recuperable, no simplemente eliminado.

  4. Pruebe las defensas en ejecución asíncrona. Una defensa con 0,94 F1 en benchmarks síncronos puede desplomarse a 0,38 en las condiciones asíncronas en las que realmente corre su sistema. Haga red teaming con una temporización de agentes realista y desordenada antes de confiar en cualquier control por propagación.

  5. Modele explícitamente los tres vectores. Inyección de prompt sigilosa, manipulación de salida de herramienta y envenenamiento de memoria son tres puntos de entrada distintos con responsables distintos (tratamiento de entradas, integración de herramientas, almacén de memoria). Asigne a cada uno un control, en lugar de suponer que una sola barrera los cubre los tres.

Estado

ElementoReferenciaFechaNotas
Preprint AcMASarXiv:2607.068072026-07-07Detección + corrección de MAS por activaciones
Detección reportada (sync)Artículo2026-07-070,94 F1 frente a 0,72 (línea base de grafo), ataques sigilosos
Detección reportada (async)Artículo2026-07-070,93 F1 frente a 0,38 (línea base de grafo)
Limitación claveArtículo2026-07-07Requiere backbones de pesos abiertos (acceso a activaciones)
Contexto del sectorMicrosoft Security2026-06-30Ampliación del riesgo «de leer a actuar»

Se trata de investigación temprana, no de un producto disponible: los resultados son de los propios autores y esperan replicación independiente. Pero la dirección merece seguimiento: a medida que los sistemas de agentes se vuelven asíncronos y los ataques más discretos, las defensas que leen el estado interno de un modelo podrían sobrevivir a las que solo leen sus palabras.

Sources