AutoDojo: por qué las tareas de «acción abierta» rompen las defensas anti-inyección
Un artículo de junio de 2026 convierte AgentDojo en un banco de pruebas adaptativo: un atacante de caja negra y bajo coste recupera el 28 % de las inyecciones bloqueadas — y el 64 % en tareas que delegan la acción al contenido del atacante.
¿Qué es esto?
El 19 de junio de 2026, un grupo de investigadores (Xinhang Ma, Taoran Li, Chaowei Xiao, Zhiyuan Yu, Ning Zhang y Yevgeniy Vorobeychik) publicó AutoDojo, una extensión adaptativa del conocido banco de pruebas AgentDojo dedicado a la inyección de prompt indirecta (IPI). La conclusión es contundente: los bancos de pruebas que se usan para declarar «eficaz» una defensa son estáticos — reproducen un conjunto fijo de inyecciones — y por tanto no dicen nada sobre su resistencia frente a un atacante que se adapta. En cuanto se permite que el atacante se adapte, aun de forma barata y a ciegas, la mayoría de las defensas IPI publicadas resultan mucho más débiles de lo que sugieren sus cifras. El código es público.
La inyección de prompt indirecta es el caso en que un agente lee contenido controlado por el atacante — una página web, un correo, el resultado de una herramienta — y trata el texto oculto que contiene como si fueran instrucciones. AutoDojo no inventa una nueva inyección: toma las existentes y las optimiza contra la defensa en funcionamiento.
Cómo funciona
AutoDojo envuelve el agente con herramientas de AgentDojo en un bucle de optimización de caja negra. El atacante solo ve la señal de éxito/fracaso que vería cualquier usuario externo — sin pesos del modelo, sin gradientes — y gasta un pequeño presupuesto de consultas en un LLM «optimizador» sin conexión. Cada ronda tiene tres pasos: retroalimentación del resultado (puntuar el último candidato contra el agente defendido, en vivo), diagnóstico (el optimizador razona sobre una clasificación de candidatos anteriores para formular una hipótesis sobre el objetivo) y generación (producir un nuevo candidato guiado por esa hipótesis). Cada candidato se evalúa sobre un conjunto de tareas de usuario que leen el mismo contenido envenenado, lo que distingue un éxito por suerte de uno fiable. Todo ello es una búsqueda evolutiva dirigida por LLM: la clasificación es la población, el ASR (tasa de éxito) la función de aptitud, y el bucle solo corre unas pocas iteraciones.
Punto clave: como se consulta al agente de extremo a extremo, la defensa activa forma parte implícitamente de cada evaluación — la inyección se especializa contra ella sin que el atacante tenga que identificarla nunca.
El artículo evalúa nueve defensas en tres familias: a nivel de prompt (Sandwich, Reminder, Spotlighting), por filtrado/detección (Llama Prompt Guard 2, PIGuard, un clasificador DeBERTa de ProtectAI y un «DataFilter» LLM de saneamiento) y a nivel de sistema (Progent y DRIFT, que derivan una trayectoria autorizada de llamadas a herramientas a partir de la petición del usuario y bloquean las desviaciones). Los objetivos abarcan cinco modelos: GPT-4o-mini, GPT-5.4-mini, Gemini-2.5-Flash, DeepSeek-v4-Flash y Claude-Haiku-4.5.
Por qué importa
Dos resultados merecen atención. Primero, un «0 %» estático no es robustez. Contra un filtro que lleva la tasa de éxito estática a 0 %, AutoDojo recupera el 28 % global. El saneador LLM pasa del 12,6 % al 33,4 % en GPT-4o-mini — casi el triple — y el clasificador DeBERTa del 7,2 % al 15,4 %. Una defensa validada sobre un banco de pruebas fijo puede desmoronarse en cuanto el atacante itera.
Segundo — y este es el hallazgo estructural — la precisión con que se especifica la tarea determina el riesgo. El artículo define tres niveles: totalmente especificada (acción y parámetros dados por el usuario), parámetros abiertos (acción fija, parámetros leídos del contenido) y acción abierta (el usuario no nombra ninguna acción y se remite a lo que diga el contenido). En las tareas de acción abierta, el ataque recupera el 64 % contra ese mismo filtro al 0 %, porque la inyección puede hacerse pasar por un dato corriente en lugar de por texto de instrucción — justo lo que los detectores están entrenados para atrapar. Si su producto le dice a menudo a un agente «lee esto y encárgate», ha entregado la elección de la acción a contenido no confiable.
Hay además un coste que las cifras dejan ver: las defensas por filtro que más bloquean también recortan entre un tercio y la mitad la utilidad en las tareas legítimas, y en algunos conjuntos dejan tan solo un 5–25 % aprovechable. Aquí la seguridad no es gratis, y comprarla con un detector nunca probado de forma adaptativa puede comprar muy poco.
Defensas
- Pruebe las defensas de forma adaptativa, no solo con bancos estáticos. Un «0 % de ASR» por reproducción tipo AgentDojo es un suelo, no una garantía. Vuelva a ejecutarlo con un optimizador adaptativo (AutoDojo es de código abierto) antes de confiar en un control.
- Prefiera controles a nivel de sistema antes que trucos de prompt/filtro. En el artículo, las defensas que restringen la trayectoria (Progent, DRIFT) son la familia más robusta frente al ataque adaptativo. Imponga trayectorias de herramientas de mínimo privilegio derivadas de la petición real, y bloquee las desviaciones.
- Reduzca su superficie de «acción abierta». Haga que la aplicación (o el usuario) nombre la acción y los parámetros; nunca deje que contenido no confiable decida qué hace el agente. Restrinja cada tarea a un conjunto de acciones preaprobado.
- Trate toda salida de herramienta y todo contenido recuperado como datos, nunca como instrucciones. Los filtros de detección de instrucciones no ven las inyecciones disfrazadas de datos; no confíe solo en ellos — colóquelos bajo una capa de autorización.
- Vigile la factura de utilidad. Mida el éxito en tareas legítimas al desplegar un filtro; una defensa que reduce a la mitad la utilidad mientras deja un ASR adaptativo de dos dígitos es un mal trato.
Status
| Elemento | Detalle |
|---|---|
| Publicación | arXiv 2606.15057v2, 19 de junio de 2026 |
| Tipo | Evaluación adaptativa de caja negra de defensas IPI (investigación) |
| Defensas probadas | Sandwich, Reminder, Spotlighting; Llama Prompt Guard 2, PIGuard, ProtectAI, DataFilter; Progent, DRIFT |
| Modelos probados | GPT-4o-mini, GPT-5.4-mini, Gemini-2.5-Flash, DeepSeek-v4-Flash, Claude-Haiku-4.5 |
| Código | Público (github.com/xhOwenMa/AutoDojo) |
Conclusión: las defensas anti-inyección deberían medirse frente a atacantes adaptativos, y las tareas de agente más arriesgadas son las que dejan que el contenido controlado por el atacante elija la acción.