Secuestrar la cadena de razonamiento: envenenamiento de caja negra del RAG agéntico
Un artículo de julio de 2026 muestra que un atacante que solo puede publicar documentos web logra secuestrar el razonamiento de varios pasos de un sistema RAG agéntico, sin acceso a los prompts, al retriever ni a los pesos.
¿Qué es esto?
El RAG clásico hace una sola recuperación, inserta los resultados en el prompt y responde. Ese paso único es fácil de envenenar: publique un documento que posicione para la consulta y el modelo puede repetir lo que usted escribió. Se suponía que el RAG agéntico era más difícil de engañar, porque alterna recuperación y razonamiento en un bucle —reformula la consulta, recupera de nuevo y descarta los resultados poco relevantes—, de modo que un documento envenenado aislado tiende a filtrarse por el camino.
Un artículo publicado en arXiv el 1 de julio de 2026, KidnapRAG: A Black-Box Attack for Hijacking Reasoning in Agentic Retrieval-Augmented Generation Systems (arXiv:2607.00422), sostiene que esa robustez es más frágil de lo que parece. Los autores muestran que un atacante que solo puede publicar documentos recuperables desde el exterior —el caso realista para quien apunta a un sistema que lee la web abierta o un corpus compartido— aún puede dirigir toda la cadena de razonamiento del agente, sin ningún acceso a su prompt de sistema, a sus trazas de razonamiento, a su retriever ni a sus pesos.
Cómo funciona
La idea central es dejar de ver un documento envenenado como una carga de un solo uso y verlo como una jugada dentro de una secuencia de varios turnos, reflejando el propio funcionamiento del agente. KidnapRAG coloca un pequeño conjunto de documentos que desempeñan tres papeles distintos a lo largo del bucle de recuperación.
El primer papel es un documento cebo, cuya única tarea es resultar lo bastante atractivo para la consulta inicial del usuario como para ser captado en la primera recuperación. El segundo es un documento eslabón, que empuja la siguiente reformulación de la consulta en una dirección elegida por el atacante, torciendo el bucle en lugar de enfrentarlo de frente. El tercero es un documento de instrucción maliciosa, que aporta la «evidencia» controlada por el atacante sobre la que el agente razonará una vez desviado hacia ese camino. Como cada documento solo tiene que ganar un paso débilmente disputado, ninguno necesita parecer una inyección evidente, y el bucle iterativo que debía filtrar el ruido propaga en cambio la manipulación.
Los autores indican que, en varios frameworks de RAG agéntico, distintos modelos base y benchmarks estándar, este enfoque secuencial supera de forma consistente a los métodos de envenenamiento anteriores en condiciones de caja negra. Su análisis explica el porqué: el ataque debilita progresivamente la intención de recuperación original, redirige el comportamiento de recuperación turno a turno y aumenta la dependencia del agente respecto de la evidencia del atacante a medida que avanza el bucle. Es la continuación en caja negra de una línea de trabajo de 2025-2026 sobre envenenamiento de corpus independiente de la consulta, como MIRAGE (arXiv:2512.08289).
Por qué importa
Lo incómodo es el modelo de amenaza. No es un jailbreak escrito en una ventana de chat y no requiere acceso interno. Cualquier pipeline que recupere de un corpus al que un tercero pueda contribuir —páginas web públicas, un wiki, una base de conocimiento de clientes, un sistema de tickets indexado— está en el alcance. Las defensas «agénticas» en las que los equipos confían cada vez más (recuperación multisalto, autorreflexión, reescritura de consultas) son precisamente el mecanismo que el ataque aprovecha: tratar la iteración como una función de seguridad es un error.
El impacto también es más silencioso que un bypass de rechazo. Una cadena de razonamiento secuestrada puede hacer emerger conclusiones, citas o recomendaciones elegidas por el atacante que parecen bien fundamentadas, porque el agente realmente recuperó esos elementos y razonó sobre ellos. En apoyo a la decisión, investigación documental o asistencia de código, eso es un problema de credibilidad e integridad, no solo de seguridad del contenido.
Defensas
Ningún control aislado detiene el envenenamiento de corpus; el objetivo es evitar que un texto recuperado no confiable se convierta en silencio en evidencia confiable.
Rastrear la procedencia a lo largo del bucle. Etiquete cada fragmento recuperado con su fuente y su nivel de confianza, y transporte esa etiqueta en cada salto de recuperación-razonamiento. Las defensas por control de flujo de información como Cordon-MAS (arXiv:2605.26754) formalizan exactamente esto: impedir que el contenido de baja confianza dirija decisiones de alta confianza.
Restringir la reformulación de consultas. El ataque funciona torciendo la siguiente consulta del agente. Acote cuánto puede alejarse una reformulación de la intención original del usuario y marque las reformulaciones que giran bruscamente hacia un tema recién introducido.
Diversificar y contrastar la recuperación. Exija corroboración de fuentes independientes y de mayor confianza antes de actuar sobre una afirmación, y reste peso a las conclusiones que descansan en un único documento reciente o de baja reputación.
Curar los corpus con contribuciones externas. Para las bases de conocimiento en las que terceros pueden escribir, aplique controles de admisión, señales de reputación y detección de anomalías sobre los documentos recién indexados, en lugar de confiar en el índice por defecto.
Probar con envenenamiento agéntico de varios pasos. Haga red team sobre todo el bucle, no sobre una sola recuperación. Las evaluaciones que solo inyectan un documento pasarán por alto los ataques secuenciales que explotan la reformulación.
Estado
| Aspecto | Detalle |
|---|---|
| Fuente | KidnapRAG (arXiv:2607.00422), enviado el 1 de julio de 2026 |
| Clase | Envenenamiento de corpus de caja negra del RAG agéntico — secuestro de la cadena de razonamiento |
| Modelo de amenaza | El atacante solo publica documentos recuperables desde el exterior; sin acceso a prompts, retriever, trazas ni pesos |
| Método | Envenenamiento secuencial mediante documentos con roles específicos (cebo, eslabón, instrucción maliciosa) |
| Alcance | Varios frameworks de RAG agéntico y modelos base (según los autores) |
| Naturaleza | Resultado de investigación / benchmark — sin CVE, sin informes de explotación activa en la práctica |