sistema: OPERATIVO
← volver a todos los hacks
RESEARCH MEDIUM NEW

Por qué funcionan los jailbreaks a nivel de carácter: el BPE fragmenta las palabras sensibles

Un estudio de julio de 2026 vincula el leetspeak y los jailbreaks por espaciado a una causa estructural: la tokenización BPE rompe las palabras críticas para la seguridad en piezas que el alineamiento nunca vio.

2026-07-14 // 6 min affects: qwen-3, qwen-2.5, gemma-3, llama-3.1, mistral-7b

¿Qué es esto?

Cualquiera que haya visto a un chatbot rechazar «cómo fabricar una bomba» y luego responder a «cómo fabricar una b0mba» conoce el efecto. Los trucos a nivel de carácter —mayúsculas aleatorias, leetspeak, espacios insertados, letras mezcladas— atraviesan el alineamiento de seguridad aunque una persona lee la petición sin dificultad. Ha sido una curiosidad empírica durante un par de años. Un artículo publicado en arXiv en julio de 2026 por investigadores de Palo Alto Networks, Breaking Safety at the Token Boundary, convierte la curiosidad en un mecanismo falsable y, más útil para los defensores, muestra por qué las soluciones obvias no funcionan de forma limpia.

La afirmación es estructural, no propia de un modelo: el byte-pair encoding (BPE), el tokenizador bajo prácticamente todos los modelos modernos, fragmenta las palabras críticas para la seguridad en piezas de subpalabra desconocidas, y los datos de alineamiento con los que se entrenaron estos modelos no contienen ningún ejemplo fragmentado de forma intencional. El modelo aprendió a comprender texto ruidoso durante el preentrenamiento, pero solo aprendió a rechazar texto limpio.

Cómo funciona

Los autores lo plantean como una cadena refutable en cada eslabón, probada eslabón por eslabón en cinco familias de modelos (Qwen-3-4B, Qwen-2.5-7B, Gemma-3-4B, Llama-3.1-8B, Mistral-7B).

Empecemos por la tokenización. Un solo cambio de carácter puede reorganizar toda la secuencia de tokens BPE. Insertar un espacio es una sonda limpia: los espacios activan una división de pretokenización antes de la búsqueda de fusiones, por lo que fragmentan un token con seguridad conservando cada carácter original. En 50 prompts de HarmBench, las cinco familias pasaron de un primer token orientado al rechazo a uno orientado al cumplimiento en al menos el 80 % de los prompts que habían rechazado inicialmente (84 %, 86 %, 92 %, 80 % y 100 % respectivamente).

El siguiente eslabón es la localización dentro del modelo. El rechazo está mediado por una señal en el último ~30 % de las capas, coherente con hallazgos previos de que el rechazo lo transporta una única dirección del flujo residual y que el comportamiento de seguridad se concentra en los primeros tokens generados. El activation patching localiza allí la perturbación, y la mutación dirigida aísla las propias palabras sensibles como punto de fallo, no la prosa circundante.

El último eslabón es el comportamiento. Una optimización dirigida directamente a fragmentar los tokens sensibles hizo bascular el disparador de rechazo del primer token en el 80–100 % de los prompts rechazados, y el 48 % de esas bascadas produjeron completaciones realmente dañinas (29–65 % según el modelo). El mero cambio del disparador sobreestima el riesgo —los autores separan cuidadosamente la señal del comportamiento— pero aproximadamente la mitad de las veces el cambio es real. Un barrido de tres conjuntos de datos de alineamiento públicos no encontró ningún prompt fragmentado intencionalmente entre 30 000 ejemplos, lo que explica el efecto por una distribución ausente.

Por qué importa

Esto reformula un cajón de sastre de jailbreaks por «ofuscación» —leetspeak, espaciado, mezcla, muestreo Best-of-N sobre perturbaciones— como síntomas de una única causa raíz en lugar de una lista de trucos inconexos. Importa para quien se apoye en los rechazos integrados de un modelo como capa de seguridad: el rechazo está ligado a la forma en tokens de la frase dañina, no a su significado, de modo que cualquier transformación que cambie la tokenización preservando la legibilidad humana tiende a pasar de largo. Es independiente del modelo, no requiere pesos ni gradientes para las versiones más baratas y se aplica por igual a modelos abiertos y alojados. Los límites honestos: los resultados más fuertes provienen de una optimización de caja blanca, el efecto es una elusión probabilística y no garantizada, y degrada una salvaguarda integrada en lugar de otorgar por sí solo un nuevo acceso al sistema.

Defensas

La contribución más valiosa del artículo para los profesionales es mostrar que las dos soluciones intuitivas no son gratis:

  • No trate el reentrenamiento como una solución resuelta. En una cuadrícula de 68 celdas (55 checkpoints entrenados), ninguna configuración DPO logró un cierre estable del ataque entre familias. El ajuste fino supervisado sobre prompts fragmentados sí lo cerró en tres de cinco familias, pero solo elevando globalmente los rechazos, incluso en peticiones benignas. La distribución ausente es necesaria pero no suficiente; la ampliación ingenua compra seguridad a costa de sobre-rechazo.
  • Mida el sobre-rechazo de forma explícita. Los autores introducen un diagnóstico benigno emparejado (Conv-Benign) precisamente para atrapar soluciones que «funcionan» haciendo que el modelo lo rechace todo. Todo equipo que endurezca contra esto debería seguir la tasa de rechazo benigno junto a la tasa de éxito del ataque, no esta última en solitario.
  • Normalice e inspeccione la tokenización de entrada. Como la pista es una fragmentación anómala, un filtro de entrada que cuente caracteres por token puede señalar prompts ofuscados antes de que lleguen al modelo (véase la línea de trabajo Broken-Token). Canonice el espaciado, las mayúsculas y los homóglifos antes de la clasificación de seguridad.
  • Defienda más allá del primer token. Dado que la señal de rechazo se concentra en las últimas capas y los primeros tokens generados, complételo con defensas en inferencia (suavizado de entradas, decodificación consciente de la seguridad, entrenamiento adversario latente) y, a más largo plazo, arquitecturas robustas o libres de tokenizador.
  • Mantenga salvaguardas en capas. Trate los rechazos nativos del modelo como un control entre varios: un clasificador de salida independiente y un alcance de herramientas de mínimo privilegio no comparten este punto ciego de tokenización.

Estado

ElementoDetalle
HallazgoLos jailbreaks a nivel de carácter provienen de la fragmentación BPE de los tokens sensibles
FuenteBreaking Safety at the Token Boundary, Palo Alto Networks, arXiv julio de 2026
Probado enQwen-3-4B, Qwen-2.5-7B, Gemma-3-4B, Llama-3.1-8B, Mistral-7B (+ Qwen-2.5-72B a escala)
Cambio del disparador80–100 % de los prompts HarmBench rechazados; 48 % producen salida dañina
LocalizaciónÚltimas ~30 % de las capas; palabras sensibles aisladas como punto de fallo
Resultado de defensaDPO: sin cierre estable; SFT-aug: cierra 3/5 familias pero vía sobre-rechazo global
TipoDebilidad estructural del alineamiento (sin CVE; resultado de investigación)

Sources