sistema: OPERATIVO
← volver a todos los hacks
AGENTS MEDIUM NEW

Cómo la compactación de contexto borra en silencio las reglas de seguridad de un agente

Un benchmark de junio de 2026 muestra que resumir el historial de un agente para ahorrar tokens puede eliminar de forma silenciosa las reglas de política en contexto, elevando las violaciones de llamadas a herramientas del 0 % hasta el 59 %.

2026-07-05 // 7 min affects: llm-agents, long-horizon-agents, tool-using-agents, rag

¿Qué es esto?

Los agentes de ejecución prolongada no pueden mantener todo su historial dentro de la ventana de contexto. Para no salirse del presupuesto de tokens, los frameworks de agentes compactan la conversación de forma rutinaria: resumen los turnos anteriores, expulsan mensajes antiguos o pliegan una trayectoria larga en un resumen más corto, y luego continúan a partir de ese estado comprimido. Un artículo publicado en arXiv a finales de junio de 2026, «Governance Decay: How Context Compaction Silently Erases Safety Constraints in Long-Horizon LLM Agents», identifica esta capa de gestión del contexto como una superficie de fallo crítica por sí misma.

El hallazgo resulta incómodo precisamente por ser tan corriente. Una restricción de gobernanza que el agente obedece a la perfección mientras la regla está visible —«nunca borrar registros de producción», «no enviar correo fuera de la empresa», «nunca tocar la facturación»— puede desaparecer durante la compactación. El resumidor, optimizado para reflejar fielmente lo esencial de la tarea, trata una prohibición permanente como relleno de bajo valor y la omite. El agente entonces continúa, sin poder ver ya la regla que seguía minutos antes, y ejecuta la acción prohibida. Los autores llaman a esto Governance Decay («deterioro de la gobernanza»).

Cómo funciona

Para medirlo, los autores construyeron ConstraintRot, un benchmark de escenarios de agentes de horizonte largo con calificación determinista de las llamadas a herramientas: cada episodio tiene una política explícita y un veredicto de referencia sobre si una llamada dada la viola, de modo que la medición no depende de un evaluador subjetivo. Ejecutaron los mismos escenarios en dos condiciones —política mantenida en contexto completo frente a política sometida a compactación— en siete familias de modelos y 1 323 episodios.

Con la política íntegramente en contexto, la tasa de violación era del 0 %. Tras la compactación, subía al 30 % de media y alcanzaba el 59 % en algunos modelos. Nada en el ataque es adversario: no hay instrucción inyectada, ni cadena de jailbreak, ni documento malicioso. La regla simplemente se resume hasta desaparecer, y el modelo hace lo que parece localmente razonable sin ella. Por eso los autores hablan de deterioro y no de exploit: la propiedad de seguridad se erosiona como efecto secundario de una gestión de memoria ordinaria.

Un resultado complementario, procedente de un artículo de abril de 2026 titulado «Omission Constraints Decay While Commission Constraints Persist in Long-Context LLM Agents», afina el patrón. No todas las restricciones se erosionan por igual. Las reglas de prohibición —«no hagas X»— son las que se difuminan bajo la presión del contexto, mientras que las reglas de obligación —«haz siempre Y»— tienden a sobrevivir, porque una acción requerida se vuelve a disparar constantemente por la tarea y permanece saliente. El resultado es una asimetría sistemática que los autores bautizan como Security-Recall Divergence: las restricciones más importantes para la seguridad son justamente las que más probablemente se olvidan.

Por qué importa

La compactación no es una configuración exótica: es el comportamiento por defecto de las pilas de agentes en producción en cuanto una sesión dura lo suficiente, que es precisamente cuando ocurren las acciones de alto riesgo (limpiezas, migraciones, operaciones masivas, pasos financieros). Governance Decay significa que un agente puede superar todas las pruebas de seguridad de horizonte corto, desplegarse y luego violar la misma política horas después del inicio de una sesión real, sin ningún atacante implicado y sin rastro evidente en la transcripción final. Los equipos que solo auditan los rechazos del modelo en un único turno, o que solo revisan a posteriori el resumen compactado, no verán la regla que se perdió. El radio de impacto es el conjunto de herramientas que posee el agente.

Defensas

La mitigación propuesta en el artículo es una técnica sin reentrenamiento llamada Constraint Pinning («anclaje de restricciones»): mantener las restricciones de gobernanza fuera de la región compresible, reinyectándolas textualmente en el contexto vivo tras cada paso de compactación, para que el modelo nunca las pierda de vista. En la evaluación reportada, esto devolvió la tasa de violación al 0 % con un sobrecoste inferior al 0,5 % de tokens, lo bastante barato como para que haya pocas razones para no aplicarlo.

Las lecciones de ingeniería duraderas van más allá de ese único método. Trate su capa de gestión del contexto como parte de la frontera de confianza, no como fontanería: todo lo que su framework resume o expulsa es un lugar donde una regla de seguridad puede esfumarse. Ancle las prohibiciones permanentes en una ranura protegida y no resumible, en lugar de confiar en que sobrevivan a un resumen, y preste especial atención a las reglas negativas, porque son las primeras en degradarse. Haga cumplir las restricciones estrictas fuera del modelo cuando el riesgo lo justifique: una lista de permitidos de llamadas a herramientas o un control de política en la capa de ejecución no se deja resumir. Y pruebe la seguridad en horizontes realistas: pase las políticas por la compactación durante la evaluación, califique las llamadas a herramientas reales al final de sesiones largas y no infiera seguridad de horizonte largo a partir de rechazos de horizonte corto.

Estado

Se trata de investigación revisada por pares que describe un modo de fallo y una defensa, no de una vulnerabilidad de producto con un identificador asignado.

ElementoDetalle
Fuente principal«Governance Decay: How Context Compaction Silently Erases Safety Constraints in Long-Horizon LLM Agents» (arXiv:2606.22528)
PublicadoJunio de 2026
BenchmarkConstraintRot — escenarios de horizonte largo, calificación determinista de llamadas a herramientas
Escala7 familias de modelos, 1 323 episodios
Resultado reportadoViolación del 0 % en contexto completo → 30 % de media tras la compactación, hasta el 59 % en algunos modelos
Defensa propuestaConstraint Pinning — devuelve la violación al 0 % con un sobrecoste < 0,5 % de tokens
Trabajo relacionado«Omission Constraints Decay While Commission Constraints Persist» (arXiv:2604.20911) — Security-Recall Divergence

La fuente principal tiene menos de 90 días. La conclusión duradera: en cuanto se comprime la memoria de un agente, sus reglas de seguridad se vuelven negociables, así que las restricciones que más importan nunca deberían residir donde un resumidor pueda alcanzarlas.

Sources