sistema: OPERATIVO
← volver a todos los hacks
DEFENSE LOW NEW

Continuidad del estado contextual: verificar la memoria de un agente antes de que actúe

Un artículo de julio de 2026 propone una defensa que recalcula y verifica una huella criptográfica del estado de las herramientas y la memoria de un agente antes de cada consulta, para detectar el envenenamiento de herramientas y memoria que sesga su comportamiento en silencio.

2026-07-07 // 6 min affects: llm-agents, agent-frameworks, agent-memory, tool-augmented-agents

¿De qué se trata?

El 2 de julio de 2026, un grupo de investigadores publicó en arXiv ElephantAgent: Contextual State Continuity in Agentic Systems. El artículo aborda un problema que la mayoría de las defensas de agentes pasa por alto: el comportamiento de un agente no lo determina solo la consulta actual del usuario, sino un estado contextual acumulado — las herramientas que ha registrado, sus descripciones y la memoria escrita a lo largo de los turnos anteriores. Si parte de ese estado se altera de forma discreta, el agente sigue funcionando como si nada hubiera pasado.

Los trabajos recientes sobre envenenamiento de herramientas y sobre envenenamiento de memoria han mostrado la forma de la amenaza: un descriptor de herramienta malicioso o una entrada de memoria envenenada puede sesgar la planificación y la ejecución de un agente mucho después de la inyección, sin síntoma visible en el momento de la acción maliciosa. Los autores lo interpretan como una carencia más profunda y estructural: no existe una continuidad verificable de la parte crítica del contexto de un agente. Es un trabajo de investigación defensivo, no un exploit.

Cómo funciona

La propuesta define el estado contextual como el subconjunto acotado y crítico para la seguridad de todo lo que contiene el contexto de un agente — principalmente el estado de sus herramientas y su memoria, en lugar del historial de prompt completo. Luego la defensa toma prestada una idea de los sistemas de continuidad de estado de la computación de confianza y la aplica a ese estado en evolución.

Antes de procesar cada consulta, el runtime recalcula una huella del estado contextual local y la compara con la última huella autorizada. Una discrepancia significa que el estado cambió fuera de banda — no fue el resultado de una transición autorizada — y el agente puede negarse a continuar.

  llega la consulta N
      |
  recalcular huella(estado_herramientas + memoria)
      |
  comparar con la última huella AUTORIZADA  --- discrepancia ---> detención / auditoría
      |  coincidencia
  ejecutar y registrar la nueva transición autorizada en el libro mayor

Dos mecanismos sostienen el enfoque. Un libro mayor linealizable de transiciones de estado autorizadas, mantenido con hardware de confianza replicado, permite detectar la manipulación fuera de banda en lugar de limitarse a calcular un hash del estado y confiar en la suerte. Y como un atacante también puede abusar del estado dentro de banda — escribiendo una memoria envenenada por una vía de apariencia legítima — el diseño añade trazabilidad histórica: un registro de auditoría condicional y a posteriori que permite restaurar el agente a un estado anterior confiable. Los nombres concretos del protocolo, los supuestos sobre el hardware de confianza y el sistema previo de continuidad de estado en el que se basa figuran en el artículo.

Por qué importa

La mayoría de las defensas de agentes vigila hoy el momento equivocado. Las barreras y los filtros de salida inspeccionan la entrada actual y la acción actual, pero el envenenamiento de herramientas y memoria son ataques desplazados en el tiempo: la carga cae en el turno 3, el daño aflora en el turno 20, y para entonces el contenido malicioso parece el propio contexto de confianza del agente. La integridad del estado acumulado, y no solo del mensaje actual, es la propiedad que faltaba.

Tratar los descriptores de herramientas y la memoria como un estado crítico con una huella verificable replantea el problema en términos familiares: es protección de integridad y detección de manipulación, aplicadas a una superficie que los frameworks de agentes dejan hoy sin proteger. Encaja de forma natural con el aislamiento de herramientas de mínimo privilegio: la verificación de continuidad indica que el estado cambió sin autorización, mientras que el aislamiento limita lo que un estado comprometido puede alcanzar. El coste principal es el supuesto de confianza: el enfoque depende de hardware de confianza replicado y de un libro mayor, un despliegue más pesado que un filtro a nivel de prompt.

Defensas

Considérelo un patrón de diseño a evaluar, no solo un artículo para leer.

Dé a la memoria y al registro de herramientas de su agente una frontera de integridad. La lección que se generaliza más allá de cualquier implementación: las herramientas en las que confía un agente y la memoria que vuelve a leer constituyen un estado crítico para la seguridad, y sus modificaciones no autorizadas deberían ser detectables. Incluso un registro de auditoría encadenado por hash de las escrituras de memoria y los cambios de descriptores de herramientas lo lleva de la confianza ciega a la detección de manipulación.

Separe las transiciones autorizadas de las escrituras ambientales. El envenenamiento tiene éxito porque toda escritura en memoria se trata como legítima. Exija que las operaciones que cambian el estado pasen por una vía controlada, registrable y a ser posible verificable, de modo que una modificación fuera de banda destaque.

Conserve un registro de auditoría que permita revertir. La trazabilidad histórica solo es útil si puede actuar sobre ella. Retenga suficiente procedencia sobre la memoria y el estado de las herramientas para identificar una entrada envenenada y restaurar una versión confiable, en lugar de descubrir el compromiso sin forma de deshacerlo.

No retire los controles en tiempo de ejecución. La verificación de continuidad detecta la manipulación fuera de banda; por sí sola no juzga si una instrucción autorizada pero maliciosa debe ejecutarse. Manténgala junto a la procedencia de las entradas, las restricciones de selección de herramientas y los controles de autoridad en tiempo de ejecución, sin considerar ninguna capa como suficiente.

Estado

ElementoDetalle
DivulgaciónPreprint académico, arXiv, 2 de julio de 2026
ClaseProtocolo defensivo contra el envenenamiento del estado contextual (herramientas/memoria)
Idea centralRecalcular y verificar una huella del estado de herramientas + memoria antes de cada consulta
MecanismosLibro mayor linealizable de transiciones autorizadas; trazabilidad histórica para auditoría/restauración a posteriori
Supuesto de confianzaHardware de confianza replicado que mantiene el libro mayor de estado autorizado
SalvedadDetecta la manipulación fuera de banda; el abuso semántico dentro de banda sigue requiriendo controles de autoridad en tiempo de ejecución

Sources