sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

AgentLens: detectar pasos peligrosos de un agente de código en sus activaciones

Un artículo de finales de junio de 2026 propone una defensa de caja blanca que lee los estados internos de un agente de código para señalar pasos dañinos en plena tarea y corregirlos mediante un pequeño subespacio de activaciones.

2026-07-07 // 7 min affects: coding-agents, llm-agents, llama-3.1, qwen-2.5, gemma-2

¿Qué es esto?

A finales de junio de 2026, Weidi Luo, Qiming Zhang, Yihao Quan, Mingyu Jin, Jie Cai, Chaowei Xiao, Jingcheng Niu y Zhen Xiang —repartidos entre la University of Georgia, la University of South Florida, Rutgers, USC y Johns Hopkins— publicaron AgentLens: Interpretable Safety Steering via Mechanistic Subspaces for Multi-Turn Coding Agent en arXiv (2606.22673). El trabajo aborda un punto ciego que la mayoría de la investigación sobre seguridad de agentes de código deja abierto: el riesgo no aparece en un único prompt, se acumula a lo largo de una trayectoria de ejecución multiturno, y cuando una barrera externa ve una llamada de herramienta maliciosa el agente ya suele estar varios pasos dentro de un plan dañino.

AgentLens es una defensa de caja blanca. En lugar de juzgar al agente desde fuera por sus entradas y salidas, lee las representaciones internas del modelo en cada paso y pregunta si el estado de ejecución actual está derivando hacia el daño. Es investigación defensiva y educativa sobre un entorno de pesos abiertos; no hay ningún exploit operativo de por medio.

Cómo funciona

El método se divide en dos partes: detección y mitigación.

Para la detección, AgentLens trata cada paso de una trayectoria del agente como un punto en el espacio de estados ocultos del modelo. Los estados de ejecución dañinos y benignos se separan en ese espacio, de modo que una sonda ligera sobre las representaciones ocultas a nivel de paso puede señalar cuándo una trayectoria ha entrado en una región insegura, antes de que el agente ejecute la siguiente llamada de herramienta.

Para la mitigación, el artículo no reentrena el modelo ni añade un segundo LLM como juez. Identifica una dirección compacta de «nocividad» e interviene dentro de un subespacio de dimensión 10 en una sola capa, empujando la representación de vuelta hacia un comportamiento seguro. La intervención es pequeña y local, y ese es el punto: aparta al agente de la continuación insegura tratando de no dañar su capacidad de terminar trabajo de código legítimo.

Bucle de defensa por paso (conceptual)

  estado oculto en el paso t ──► sonda de subespacio ──► ¿seguro?
        │                                                 │
        │                             no ──► corregir en un
        │                                    subespacio de dim. 10
        │                                    de una capa, y continuar
        └────────────────► sí ──► dejar que el paso proceda

Para medir todo esto hacen falta trayectorias multiturno anotadas, que apenas existen. Por eso los autores construyen el Mechanistic Agent Safety (MAS) benchmark: trayectorias de ejecución multiturno anotadas sobre 194 tareas, generadas con tres modelos de pesos abiertos — LLaMA-3.1-8B, Qwen-2.5-7B y Gemma-2-9B — de forma que cada paso lleva una etiqueta de seguridad con la que entrenar y evaluar la sonda.

Por qué importa

Los agentes de código están entre los despliegues de LLM más privilegiados en producción: leen repositorios, ejecutan comandos de shell y manejan secretos. Las barreras externas y los clasificadores de un solo turno se diseñaron para el chat y sufren ante una trayectoria que solo se vuelve peligrosa en conjunto —el mismo punto ciego tras la fragilidad de los agentes ante la inyección indirecta o la autoridad persistente en agentes de código. Lo interesante de AgentLens es que mueve la decisión dentro del modelo y por paso, que es donde el riesgo evoluciona de verdad.

El compromiso es honesto y conviene enunciarlo: las defensas de caja blanca requieren acceso a los estados ocultos, así que encajan mucho mejor con agentes auto-alojados de pesos abiertos que con modelos cerrados por API, donde las activaciones no se exponen. Y el guiado a nivel de representaciones, como otros trabajos de detección basada en representaciones, depende de que la dirección de «nocividad» generalice más allá de las tareas usadas para encontrarla.

Defensas

Para los equipos que operan agentes de código auto-alojados, el artículo apunta a una capa defensiva que se compone con los controles existentes, sin reemplazarlos.

Instrumente la trayectoria, no solo los extremos. Registre e inspeccione el estado del agente en cada paso para que un plan malo sea detectable antes de su llamada de herramienta final, en lugar de depender solo del filtrado de entrada y la moderación de salida.

Prefiera intervenciones locales y de baja dimensión. Un guiado en un subespacio estrecho preserva la utilidad mejor que los rechazos generalizados o un endurecimiento agresivo del prompt de sistema, que tienden a romper las tareas largas legítimas —el problema del «impuesto de autonomía».

Construya datos de evaluación multiturno anotados. No se puede ajustar ni confiar en un detector a nivel de paso sin trayectorias anotadas para seguridad; los conjuntos de datos tipo MAS son un prerrequisito, y un benchmark de un solo turno sobrestimará su cobertura.

Conserve los controles clásicos. El guiado de representaciones es una mitigación de último recurso dentro del modelo —el mínimo privilegio en herramientas, el sandboxing y la confirmación humana para acciones destructivas siguen importando, porque la señal interna es probabilística y puede fallar.

Estado

ElementoDetalle
DivulgaciónPreprint arXiv 2606.22673, finales de junio de 2026 (cs.AI / cs.SE)
TipoDefensa en runtime de caja blanca — detección por paso + mitigación a nivel de representaciones para agentes de código multiturno
MecanismoSonda sobre estados ocultos de paso; guiado en un subespacio de dimensión 10 de una sola capa
BenchmarkMechanistic Agent Safety (MAS): 194 tareas, trayectorias multiturno anotadas
Modelos estudiadosLLaMA-3.1-8B, Qwen-2.5-7B, Gemma-2-9B (pesos abiertos)
Limitación principalRequiere acceso a los estados ocultos (modelos auto-alojados); generalización de la dirección de nocividad más allá de las tareas de entrenamiento

Sources