FlowSteer: dirigir la formación del flujo multiagente con un solo prompt
Un artículo de mayo de 2026 muestra que un atacante limitado al prompt puede sesgar cómo un sistema multiagente planificador-ejecutor construye su flujo de trabajo, elevando el éxito malicioso hasta un 55 % antes de que se ejecute agente alguno.
¿Qué es esto?
El 12 de mayo de 2026, investigadores de la Universidad de Yunnan, la National University of Singapore y la Universidad de Washington publicaron FlowSteer, un estudio de una superficie de ataque que gran parte del trabajo sobre seguridad multiagente había pasado por alto. Los ataques previos apuntan a los agentes, las herramientas, la memoria o los mensajes entre agentes una vez que existe el flujo de trabajo. FlowSteer apunta al momento en que el flujo se construye.
Los sistemas multiagente (MAS) modernos adoptan cada vez más un diseño planificador–ejecutor: un planificador convierte el prompt del usuario en subtareas, asigna roles, conecta dependencias y decide cómo se enruta y se agrega la información. Esa flexibilidad es su ventaja y, según el artículo, su exposición. Un prompt de usuario corriente, sin acceso a ningún componente interno, puede sesgar la formación de ese flujo y dirigir todo el sistema hacia una respuesta elegida por el atacante. Los autores lo llaman seguridad a nivel de flujo de trabajo, la contribución central del trabajo.
Cómo funciona
El artículo emplea la influencia social como diagnóstico: se fija un flujo limpio, se perturba una subtarea a la vez y se mide cuánto se desplaza la salida final hacia un objetivo malicioso. Ese sondeo revela dos debilidades.
La primera es la sensibilidad estructural: una misma señal maliciosa tiene un impacto muy distinto según dónde entra en el flujo. La posición puede amplificar una señal en la agregación o, por el contrario, atenuarla. La segunda es la sensibilidad al encuadre: las señales aduladoras —lenguaje de autoridad, redacción orientada al cumplimiento, afirmaciones presentadas como premisas incuestionables— hacen que los agentes posteriores tiendan más a retransmitir la señal. En el sondeo controlado, ese encuadre aumentó el éxito malicioso hasta un 37 %.
FlowSteer reúne ambas en un único prompt elaborado, en dos etapas:
[User Task] # el objetivo real, de apariencia benigna
[Malicious Argument] # afirmación aduladora alineada con una subtarea de
# alta influencia, presentada como evidencia
[Structural Guidance] # indicaciones en lenguaje natural que orientan la
# replanificación hacia dependencias que propagan la señal
No se ejecuta ningún payload ni se toca la infraestructura. El atacante solo moldea las señales de planificación que lee el planificador. En cuatro familias de modelos —GPT-4o-mini, Gemini-2.5-Flash, Qwen-3.5-Flash y DeepSeek-V3— y dos bancos de pruebas (MisinfoTask y ASB-Bench), FlowSteer elevó la tasa de éxito malicioso en más de la mitad (hasta +55 %) frente a un prompt malicioso ingenuo. Los indicios de vulnerabilidad, perfilados en una sola configuración limpia, se transfirieron entre familias de modelos; e incluso en un escenario totalmente de caja negra, en el que el atacante no ve la topología de ejecución y solo infiere una estructura aproximada a partir de las salidas del planificador, el ataque se mantuvo muy por encima de la línea base ingenua.
Por qué importa
El hallazgo incómodo tiene que ver con dónde se sitúan las defensas. Las salvaguardas MAS existentes, como ARGUS y G-Safeguard, inspeccionan el flujo ya formado: estructura del grafo, salidas de los agentes, patrones de propagación. FlowSteer contamina la señal del prompt antes de que el flujo exista, de modo que la inspección posterior a la formación ofrece una protección limitada e inconsistente. La misma interfaz de prompt que hace adaptables a estos sistemas es el canal que los dirige.
Esto importa porque estas arquitecturas se están adentrando en contextos de consecuencia —asistencia de código con agentes, análisis de riesgo financiero, simulación de políticas públicas— donde una etapa de agregación final puede convertir una sola afirmación bien colocada en la respuesta definitiva del sistema. También instrumentaliza una debilidad de alineamiento conocida: la adulación deja de ser un rasgo de cortesía para convertirse en un mecanismo estructural de propagación.
Defensas
Los autores acompañan el ataque con FlowGuard, una defensa del lado de la entrada que actúa antes de la planificación. Funciona en dos pasos. Un módulo de triaje de intención separa el prompt en intención de tarea, intención metodológica/estructural e intención de encuadre. Un módulo de descontaminación de intención reescribe luego el prompt para preservar el objetivo genuino mientras suaviza los mandatos estructurales rígidos, reformula las afirmaciones externas tajantes como evidencia a evaluar y elimina las señales de cumplimiento que sesgan la adopción. FlowGuard redujo el éxito malicioso hasta un 34 % sin degradar las instrucciones de tarea legítimas. Los autores subrayan que es un primer paso, a combinar con verificación del lado del planificador, seguimiento de procedencia y monitoreo en ejecución.
Conclusiones prácticas para los equipos que despliegan sistemas planificador-ejecutor: tratar al planificador como una frontera de confianza en lugar de presumir un flujo limpio; normalizar el encuadre y el lenguaje de cumplimiento en la entrada del usuario antes de la descomposición; no depender solo de la inspección posterior del grafo o de las salidas; exigir corroboración para las afirmaciones de alto impacto en la agregación; y registrar las decisiones de planificación (descomposición y enrutamiento) para que un flujo dirigido quede auditable.
Estado
| Aspecto | Detalle |
|---|---|
| Divulgación | Preprint de arXiv, publicado el 12 de mayo de 2026 |
| Clase | Ataque en tiempo de planificación / formación del flujo (MAS planificador-ejecutor) |
| Probado en | GPT-4o-mini, Gemini-2.5-Flash, Qwen-3.5-Flash, DeepSeek-V3 |
| Efecto | Hasta +55 % de éxito malicioso frente a prompt ingenuo; transferible; funciona en caja negra |
| Explotado en la práctica | No reportado; resultado de investigación |
| Defensa | Descontaminación del lado de la entrada FlowGuard (−34 % de éxito malicioso) |