sistema: OPERATIVO
← volver a todos los hacks
JAILBREAK MEDIUM NEW

Preguntas inofensivas, respuesta prohibida: la evasión por descomposición del conocimiento

Un artículo de ICML 2026 describe un jailbreak que nunca formula nada dañino: divide un objetivo prohibido en subpreguntas inofensivas y luego reensambla la respuesta, con una tasa de evasión anunciada de más del 95 % frente a las barreras comerciales.

2026-07-07 // 6 min affects: commercial-llms, llm-guardrails, content-moderation, safety-classifiers

¿Qué es esto?

El 6 de julio de 2026, investigadores afiliados a IBM presentaron en ICML 2026 el artículo The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search. El artículo describe una clase de jailbreak que sortea la premisa sobre la que se construyen la mayoría de las barreras de seguridad: que una petición dañina parece dañina.

Casi todos los jailbreaks habituales siguen dentro del paradigma de la optimización de prompts: fabrican una entrada única que porta la intención maliciosa y luego intentan disfrazarla. Los clasificadores de moderación modernos están entrenados justamente para detectar esa señal residual. Los autores identifican una debilidad más profunda, ajena a la redacción: el conocimiento interno de un LLM está densamente interconectado, de modo que un objetivo prohibido puede reconstruirse a partir de una secuencia de preguntas individualmente inofensivas, ninguna de las cuales activa por sí sola un filtro. Se trata de investigación académica publicada sobre una vulnerabilidad estructural, no de un manual operativo.

Cómo funciona

La técnica se presenta como un agente al que los autores llaman Correlated Knowledge Attack Agent (CKA-Agent). En lugar de optimizar un prompt, replantea el jailbreak como una exploración adaptativa, estructurada en árbol, de lo que el modelo objetivo ya sabe.

A grandes rasgos, el bucle es así —deliberadamente abstracto—:

objetivo prohibido
      |
  descomponer en subpreguntas localmente inofensivas
      |
  formular la subpregunta  --->  el modelo responde (cada respuesta parece inofensiva)
      |                              |
  usar la respuesta para ramificar y elegir la siguiente subpregunta (búsqueda en árbol)
      |
  repetir por varias rutas
      |
  agregar los fragmentos recogidos  ---> objetivo original reconstruido

Dos propiedades lo hacen difícil de contener. Primero, la localidad: cada petición que ve la barrera es realmente inofensiva de forma aislada, así que la clasificación por mensaje no tiene nada que marcar. Segundo, la adaptatividad: las respuestas del modelo guían la búsqueda, de modo que el ataque explora las rutas donde el conocimiento es más accesible en lugar de seguir un guion fijo. El contenido dañino nunca se enuncia: lo ensambla el atacante a partir de piezas que el modelo entregó una a una. Los autores anuncian tasas de éxito superiores al 95 % contra modelos comerciales de vanguardia, con barreras robustas activas; el procedimiento de búsqueda exacto y la evaluación figuran en el artículo.

Por qué importa

Esto desplaza la unidad de ataque del mensaje a la conversación. Las barreras que puntúan cada prompt y cada respuesta de forma aislada son, por construcción, ciegas a un daño que solo existe una vez combinados los fragmentos —una propiedad que ningún turno contiene por sí mismo—. Es el equivalente, en la capa de moderación, de un ataque por descomposición, y generaliza la misma lección que emerge en otros ámbitos de la seguridad de agentes: dividir un objetivo dañino en pasos inofensivos burla los controles puntuales, y las brechas de procedencia a lo largo de una sesión dejan que acciones inocuas se sumen en algo peligroso.

La exposición concreta es mayor en despliegues que se apoyan en un clasificador de moderación como control de seguridad principal, en especial en chat multiturno y en configuraciones de recuperación documental, donde un usuario (o un agente aguas arriba) puede sostener un largo hilo de preguntas. La técnica no concede por sí sola ejecución de código ni exfiltración de datos: el riesgo es que un modelo revele conocimiento que su operador pretendía retener.

Defensas

Considere la moderación por mensaje como necesaria pero insuficiente.

Puntúe la conversación, no solo el turno. La debilidad central es que el daño se acumula a lo largo de varios mensajes mientras las defensas los evalúan por separado. Mantenga contexto a nivel de sesión en su capa de seguridad, para que una secuencia derivante de preguntas de alcance estrecho hacia un objetivo sensible se reconozca como un patrón y no como una mera lista de prompts limpios.

Vigile la convergencia temática y la estructura de sondeo. La descomposición adaptativa del conocimiento tiende a rodear una zona sensible desde muchos ángulos. La limitación de tasa, la detección de anomalías en las trayectorias de preguntas y la señalización de conversaciones que se acercan repetidamente a un dominio restringido elevan el coste de la búsqueda en árbol, incluso cuando ninguna consulta es bloqueable.

Defienda la frontera del conocimiento, no solo la redacción. Como el ataque no incluye palabras maliciosas, importan los controles del lado de la salida y de la recuperación: restrinja qué material sensible puede revelar el modelo o su corpus RAG, en lugar de confiar en que el clasificador de entrada detecte una intención ausente del texto.

Mantenga controles en capas y asuma la evasión. Es una familia de jailbreak, no un fallo parcheable: prevea que un adversario multiturno determinado logrará una reconstrucción parcial. Combine moderación consciente de la conversación, políticas de exposición mínima de datos, revisión humana para dominios de alto riesgo y registro que permita reconstruir una sesión a posteriori.

Status

ElementoDetalle
DivulgaciónArtículo de conferencia, ICML 2026, presentado el 6 de julio de 2026 (preprint arXiv 2512.01353)
ClaseJailbreak multiturno por descomposición del conocimiento contra barreras de contenido
Idea centralReconstruir un objetivo prohibido a partir de subpreguntas inofensivas mediante búsqueda en árbol adaptativa
Impacto anunciado>95 % de evasión en LLM comerciales de vanguardia con barreras robustas (según los autores)
Fuera de alcanceEjecución de código o exfiltración: es una evasión de seguridad/moderación, no un compromiso del sistema
SalvedadEl éxito y el conocimiento alcanzable dependen del modelo objetivo y de su pila de seguridad

Sources