sistema: OPERATIVO
← volver a todos los hacks
AGENTS MEDIUM NEW

Cómo la curación adversaria de un feed dirige las decisiones de un agente LLM

Un estudio de junio de 2026 muestra que elegir qué publicaciones inofensivas lee un agente LLM antes de actuar puede inclinar sus decisiones — sin ninguna instrucción inyectada ni carga que un filtro pudiera detectar.

2026-07-08 // 6 min affects: llama-3.2, gemma-4, qwen-3.5, llm-agents

¿Qué es esto?

El 2 de junio de 2026, un artículo titulado Adversarial Feeds Steer LLM Agent Decisions Against Their Defaults describió un canal de manipulación que la mayoría de las evaluaciones de agentes nunca prueba: el ranker previo que decide qué elementos lee un agente justo antes de actuar. En lugar de introducir una instrucción en un documento — el patrón clásico de la inyección indirecta — el estudio plantea otra pregunta. ¿Qué ocurre si cada publicación que ve el agente es inofensiva y la manipulación reside enteramente en qué publicaciones se seleccionan y en qué proporción?

La respuesta, a lo largo de miles de decisiones generadas con cuatro modelos instruct abiertos, es que la sola curación del feed basta para alterar lo que decide un agente. Se trata de investigación publicada y defensiva — aquí no se introduce ningún ataque nuevo — y su lección es que la seguridad de agentes debe auditar la capa del feed, no solo el prompt final.

Cómo funciona

El protocolo experimental mantiene todo constante salvo el feed. El modelo, el persona, el tema y la pregunta final de elección forzada son fijos. La única variable es la composición y el orden de las publicaciones que el agente «desplaza» durante una fase de exposición de diez turnos antes de responder. Como todo lo demás se mantiene constante, cualquier cambio en la decisión final es atribuible únicamente a la curación del feed.

Punto crucial: ningún elemento contiene una instrucción. Las publicaciones adversarias defienden un bando de forma persuasiva, sin individuos nombrados ni imperativos explícitos. No hay cadena de jailbreak, ni comando inyectado, ni carga manipulada — precisamente por eso un filtro de análisis de entrada no puede ver el ataque. La manipulación es la selección de contenido por lo demás anodino, y el objetivo es una decisión posterior de varios pasos, no una salida de un solo turno.

El comportamiento medido se agrupa en tres regímenes. Algunos modelos capitulan, derivando hacia la dirección que empuja el feed. Otros saturan, devolviendo un valor por defecto fijo lean lo que lean. El patrón más instructivo es una asimetría respecto al valor por defecto: un feed unilateral inclina de forma fiable una decisión sobre la que el modelo estaba realmente indeciso, pero no logra desalojar una postura que ya sostiene con firmeza. El efecto sigue una curva dosis-respuesta, con un umbral en torno a dos publicaciones adversarias de cada cinco, y sobrevivió a un cambio de generador en el que otro modelo redactaba las publicaciones — descartando el artefacto de estilo de escritura.

Por qué importa

La implicación de seguridad es concreta y, en el estudio, incluye elecciones relevantes para la seguridad, no solo opiniones políticas blandas. Allí donde el valor por defecto seguro de un agente es la opción cautelosa — mantener una barrera de despliegue, conservar el MFA obligatorio y el mínimo privilegio — un adversario que controla el ranking previo puede erosionar ese valor hacia una elección más arriesgada usando solo contenido de apariencia inofensiva. Esto se acerca en espíritu a la manipulación de opinión mediante RAG y a la corrupción del respaldo de los agentes de búsqueda, pero elimina por completo la carga útil.

La exposición es real para cualquier agente conectado a un canal que un tercero pueda influir: plataformas sociales, rankings de búsqueda, memoria aumentada por recuperación, triaje de correo o un recomendador. También está acotada. El ataque solo mueve decisiones discutibles con un valor por defecto móvil; dos de los cuatro modelos probados estaban saturados y no se movieron, y los autores señalan que una sonda preliminar mostró que un modelo de frontera conservaba su valor por defecto razonado bajo el mismo ataque. La susceptibilidad decrece con la capacidad y el alineamiento del modelo — es, por tanto, un riesgo gradual, no una ruptura universal.

Defensas

El artículo prueba dos defensas simples a nivel de feed y observa que ambas ayudan, al menos en el modelo susceptible más claro.

  • Equilibrar la exposición. Imponer una mezcla de puntos de vista en lo que lee el agente — en lugar de dejar que se acumule un flujo unilateral — restauró en gran medida el valor por defecto seguro en las pruebas. Las restricciones de diversidad sobre el feed son una mitigación directa.
  • Divulgar el ranking. Anteponer una breve nota, a nivel de persona, indicando que el feed puede haber sido seleccionado de forma adversaria redujo el efecto de manera medible. Avisar al agente de que su flujo de información no es de confianza es barato y parcialmente eficaz.
  • Auditar la capa del feed, no solo el prompt. Un benchmark que solo prueba el prompt final pierde por completo esta superficie de control. Evalúe los agentes frente a rankers adversarios y reporte la susceptibilidad propia de cada modelo en lugar de un promedio.
  • Limitar el radio de impacto. Como con la tríada letal, el peligro culmina cuando un agente dirigido puede actuar. Coloque las acciones de alto impacto tras una confirmación, restrinja los permisos y mantenga a un humano en el bucle para decisiones irreversibles, de modo que una recomendación influida no se ejecute sin control.
  • Preferir valores por defecto robustos. El ataque fracasa contra valores por defecto firmemente sostenidos. Cuando una decisión sea relevante para la seguridad, fije la opción segura como política dura en lugar de dejarla a una preferencia móvil que el feed pueda erosionar.

Estado

PropiedadHallazgo
DivulgaciónArtículo de investigación público, 2 de junio de 2026 (2606.00914)
CanalRanker previo / curación del feed — sin carga inyectada
Modelos movidosLlama 3.2-3B, Gemma 4 (2 de 4); Qwen 3.5-2B/9B saturados
Umbral≈ 2 publicaciones adversarias de cada 5 (dosis-respuesta)
AlcanceInclina valores por defecto móviles, incluidas decisiones de seguridad; fracasa en valores firmes o alineados; modelo de frontera resistente en una sonda preliminar
MitigacionesExposición equilibrada, divulgación del ranking, auditorías de la capa del feed, control de acciones

El replanteamiento es lo esencial: en un entorno agéntico, la salida de un agente es función no solo de sus pesos y del prompt del usuario, sino también de la trayectoria de información que un ranker eligió para él. La pregunta ya no es solo si un modelo se comporta bien ante un prompt limpio, sino quién controla lo que lee justo antes de responder.

Sources