sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

La atención, campo de batalla del envenenamiento RAG: desviarla o leerla

Un solo pasaje envenenado puede secuestrar una respuesta RAG captando la atención del modelo. Nuevos trabajos convierten esa misma atención en señal de detección — y en una forma de aislar los documentos entre sí.

2026-07-09 // 7 min affects: retrieval-augmented-generation, rag-systems, llm-applications

¿Qué es esto?

La generación aumentada por recuperación (RAG) ancla la respuesta de un modelo en documentos extraídos de un corpus en el momento de la consulta. El envenenamiento de corpus es el ataque correspondiente: un adversario coloca uno o varios pasajes fabricados para que, al ser recuperados, orienten la respuesta generada. La pregunta abierta siempre ha sido por qué un único pasaje sumergido entre muchos legítimos puede dominar la salida — y una línea de investigación convergente de 2025-2026 ofrece una respuesta concreta: la atención. Un pasaje envenenado se impone cuando capta una parte desproporcionada de la atención del modelo durante la generación. Esa intuición mecanicista impulsa hoy tanto un ataque más escalable como dos defensas que leen o remodelan la atención directamente. La pieza más reciente, una defensa por atención dispersa, se publicó en febrero de 2026, y la línea de detección basada en la atención se presentó en ICML 2026.

Cómo funciona

El lado ofensivo fue afinado por Eyes-on-Me (preprint de octubre de 2025, revisado en diciembre de 2025). En lugar de reoptimizar un documento envenenado completo para cada frase objetivo — el paso costoso que hacía que el envenenamiento de corpus escalara mal —, descompone un documento adversario en dos partes reutilizables: Atractores de atención (Attention Attractors) y una Región focal (Focus Region). Los atractores se optimizan una sola vez para arrastrar un pequeño subconjunto de cabezas de atención — las empíricamente más correlacionadas con el éxito del ataque — hacia la región focal, en la que el atacante deposita después un cebo para el recuperador o una instrucción para el generador. Medido en 18 configuraciones RAG de extremo a extremo, esto permitió que un único documento en un corpus de 1000 documentos (≤ 0,1 % de contaminación) reorientara las respuestas, con la costosa optimización amortizada entre muchos objetivos.

La intuición defensiva es la imagen especular. Si un ataque exitoso debe sobreconcentrar la atención, entonces la atención es evidencia observable del ataque. Through the Stealth Lens (preprint de mediados de 2025, ICML 2026) lo formaliza como un juego de distinguibilidad e introduce dos herramientas ligeras: una puntuación de atención normalizada por pasaje (NPAS) que estima cuánto influye cada pasaje recuperado en la respuesta, y un filtro de varianza de atención (AV Filter) que marca los pasajes cuya influencia es anómalamente alta respecto al resto. La tesis central es un compromiso: un ataque que funciona pese a corromper una fracción mínima de la entrada no puede ser a la vez perfectamente sigiloso, porque un efecto desmedido se traduce en una huella de atención desmedida.

Un artículo de febrero de 2026 aborda el problema de forma estructural en lugar de por detección. Su Sparse Document Attention (SDAG) reemplaza la atención causal estándar por una máscara dispersa por bloques que prohíbe la atención cruzada entre documentos recuperados distintos: cada pasaje puede atender a sí mismo y a la consulta, pero no a sus vecinos. El razonamiento: el envenenamiento no es solo un problema de contenido sino un problema de interacción dentro del mecanismo de generación, donde un documento malicioso se apoya en los benignos para construir una respuesta convincente. Cortar esos caminos entre documentos es un simple cambio de máscara en la inferencia — sin fine-tuning, sin cirugía de arquitectura — y los autores reportan una caída sustancial en la tasa de éxito de los ataques frente a la atención densa.

Por qué importa

RAG es hoy el patrón por defecto para anclar asistentes en datos privados o de rápida evolución, lo que convierte al corpus en una superficie de ataque: wikis, sistemas de tickets, páginas web extraídas y unidades compartidas son todos escribibles por alguien. Reenfocar la lucha en torno a la atención cambia las opciones del defensor de dos maneras útiles. Primero, aporta una señal interna del modelo que no depende de conocer de antemano el disparador del atacante, a diferencia de los filtros de palabras clave o de contenido que un adversario adaptativo esquiva mediante edición. Segundo, SDAG muestra una mitigación estructural que elimina toda una clase de manipulaciones entre documentos sin reentrenamiento. La salvedad vale en ambos sentidos: Eyes-on-Me ya dirige cabezas específicas, de modo que un atacante que modele las estadísticas de atención del defensor podrá intentar dispersar su influencia para permanecer bajo un umbral de varianza. Se trata de una carrera armamentista en torno a la misma magnitud, no de un problema resuelto — por eso los trabajos de síntesis recientes catalogan los métodos basados en la atención como una familia entre otras, y no como una solución milagrosa.

Defensas

Ningún control aislado es suficiente; hay que superponerlos.

  1. Puntúe la influencia de los pasajes, no solo el contenido. Calcule una puntuación de atención/influencia por pasaje (tipo NPAS) en el momento de la generación y marque los pasajes cuya influencia supere ampliamente la varianza del lote. Trate los valores atípicos como sospechosos y regenere sin ellos para comparar respuestas.
  2. Aísle los documentos en la máscara de atención. Donde controle la pila de servicio, evalúe una atención dispersa/por bloques para impedir la atención cruzada entre pasajes; es un cambio en la inferencia que se combina con la detección.
  3. Suponga que el corpus es escribible. Controle la ingesta: procedencia y firma de documentos, allowlists de fuentes y revisión de cualquier contenido aportado por el usuario o la web antes de que entre en el índice.
  4. Pruebe con ataques conscientes de la atención. Haga red-teaming con ataques transferibles de baja contaminación (un solo documento, ≤ 0,1 %) y con variantes adaptativas que aplanen deliberadamente su huella de atención, no solo inyecciones evidentes de palabras clave.
  5. Mantenga al humano y los diffs en el bucle para respuestas sensibles. Registre los pasajes recuperados y sus puntuaciones de influencia; alerte cuando un documento mal clasificado domine la respuesta.
  6. No dependa de una sola señal. Combine la puntuación de atención con el filtrado en la recuperación, la verificación de salida y los enfoques de agregación demostrable; el atacante adaptativo optimiza contra la única defensa que despliegue.

Estado

ElementoReferenciaFechaNotas
Eyes-on-Me (ataque por dirección de atención transferible)arXiv 2510.005862025-10 (rev. 2025-12)Atractores de atención + Región focal reutilizables; un doc a ≤0,1 % del corpus
Through the Stealth Lens (NPAS + AV Filter)arXiv 2506.04390preprint 2025, ICML 2026Juego de distinguibilidad; la atención como señal de detección
Sparse Document Attention (SDAG)arXiv 2602.047112026-02Máscara dispersa por bloques que prohíbe la atención entre documentos; solo en inferencia
Taxonomía de seguridad RAG (contexto)arXiv 2604.083042026Sitúa los métodos basados en atención entre defensas más amplias

El hilo conductor es que el envenenamiento RAG y sus defensas más prometedoras debaten ahora en torno a la misma variable. Los atacantes se imponen concentrando la atención del modelo en un pasaje plantado; los defensores pueden vigilar esa concentración como una anomalía, o prohibir las interacciones entre documentos que permiten a un pasaje envenenado tomar prestada la credibilidad de los honestos. Ninguna defensa cierra la partida — un atacante adaptativo puede intentar dispersar su huella — pero razonar en términos de atención da a los operadores una señal y una palanca estructural de las que carecían cuando el envenenamiento de corpus se trataba como un mero problema de filtrado de contenido.

Sources