sistema: OPERATIVO
← volver a todos los hacks
RESEARCH MEDIUM NEW

Cuando un agente hace red-teaming a otro: un grafo de conceptos de vulnerabilidad para agentes de código

Un artículo del 13 de julio de 2026 muestra a un agente de investigación sondeando agentes de código en producción y guardando lo aprendido como conceptos reutilizables y falsables — un artefacto duradero para los equipos de seguridad, no otro exploit desechable.

2026-07-17 // 6 min affects: claude-code, codex, llm-agents

¿Qué es esto?

El 13 de julio de 2026, Xutao Mao, Xiang Zheng y Cong Wang publicaron Agent Hacks Agent: Autoresearch for Production-Agent Red-Teaming (arXiv:2607.11698). El artículo plantea una pregunta práctica: los agentes de código en producción como Claude Code y Codex ya operan sobre contenido no confiable, archivos, comandos y el estado de un espacio de trabajo, de modo que sus fallos de seguridad son directamente accionables — y tanto los modelos como las herramientas cambian cada pocas semanas. ¿Cómo se hace red-teaming a algo que no deja de moverse?

La respuesta de los autores es usar un entorno de investigación agéntico para estudiar otro. Su sistema, llamado AHA, ejecuta un bucle de descubrimiento falsable y —esto es lo esencial— no solo registra dónde funcionó un ataque. Registra por qué. Los hallazgos confirmados se promueven a un grafo de conceptos de vulnerabilidad (Vulnerability Concept Graph, VCG), una estructura auditable que los equipos de seguridad pueden inspeccionar, reutilizar y contrastar con sus parches. Se trata de un análisis de investigación defensiva, no de un exploit accionable.

Cómo funciona

La mayoría de los pipelines de red-teaming optimizan el éxito del ataque y conservan los artefactos que ese éxito produce: un benchmark, un payload, un programa de ataque. Esos objetos indican que un prompt rompió un agente un día concreto; no indican la condición habilitante detrás del comportamiento inseguro, que es precisamente lo que se transfiere a la siguiente versión del modelo.

AHA replantea el red-teaming como investigación. Cada iteración del bucle transcurre, a alto nivel, así:

Proponer     -> una hipótesis de vulnerabilidad sobre una superficie del agente
Falsar       -> construir una prueba capaz de refutar la hipótesis
Instanciar   -> crear un ataque válido coherente con la hipótesis
Ejecutar     -> lanzarlo en un entorno aislado (sin objetivos vivos)
Reflexionar  -> leer la trayectoria: ¿se mantuvo la condición habilitante?
Promover     -> si se confirma, escribirlo en el grafo de conceptos

Cada nodo del grafo es un concepto que vincula una superficie expuesta al atacante con una trayectoria insegura, y lleva cinco campos: una afirmación, una condición habilitante, un falsador, una predicción de transferencia y evidencia de apoyo. El falsador es la disciplina clave: un concepto solo sobrevive si existía una vía real para refutarlo y aun así se sostuvo. Esto se acerca más a cómo un científico formula un hallazgo que a cómo un fuzzer vuelca entradas ganadoras.

Los resultados reportados son lo que hace la idea valiosa para los defensores. Probados en Claude Code y Codex a través de tres escenarios que cubren ataques directos e indirectos, los conceptos descubiertos revelaron un núcleo de vulnerabilidades reutilizable y compartido entre modelos y agentes. Una vez congelado el grafo —sin más búsqueda permitida— sigue superando a la mejor referencia de descubrimiento congelada en 14,2 puntos porcentuales bajo el mismo protocolo de un solo intento (single-shot), y los conceptos se transfieren entre escenarios y entre canales de ataque. Dicho de otro modo, el conocimiento, y no el payload, es el activo transferible.

Por qué importa

Dos cuestiones destacan para quien opera agentes en producción.

Primero, el conocimiento de red-teaming puede acumularse en lugar de caducar. El modo de fallo habitual del trabajo de seguridad sobre agentes: un jailbreak o una inyección se parchea, el informe envejece y el lanzamiento del siguiente modelo reinicia el reloj. Un grafo de conceptos que captura condiciones habilitantes y predice la transferencia intenta construir memoria institucional que sobreviva al recambio de modelos — la misma razón por la que los programas de divulgación coordinada mantienen registros estructurados en lugar de pruebas de concepto sueltas.

Segundo, el hallazgo del «núcleo de vulnerabilidades reutilizable» es una advertencia sobre el monocultivo. Si las mismas debilidades de fondo aparecen en dos agentes de código de frontera construidos de forma independiente, entonces las defensas ajustadas a las peculiaridades de un producto probablemente pasan por alto las causas raíz compartidas. Que los canales de ataque directos e indirectos beban del mismo núcleo refuerza una lección que este campo reaprende una y otra vez: el problema de las entradas no confiables en los agentes es estructural, no un fallo propio de cada modelo.

El artículo es un método y una evaluación, no la divulgación de un fallo concreto — no hay CVE ni parche de producto asociado. Su valor reside en el artefacto que propone: un registro inspeccionable y comprobable del porqué fallan los agentes, que los equipos de seguridad pueden usar para validar sus propias correcciones.

Estado

ElementoDetalle
PublicaciónPreprint arXiv, enviado el 13 jul. 2026 (v1)
Sistemas estudiadosClaude Code, Codex (tres escenarios, ataques directos + indirectos)
NaturalezaMetodología de red-teaming defensivo; sin CVE, sin vulnerabilidad de producto divulgada
Resultado claveEl grafo congelado supera a la mejor referencia congelada en 14,2 pts, en single-shot
SalvedadPreprint aún no revisado por pares; resultados propios de los autores

Sources