sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

MAGE: una memoria en la sombra que detecta ataques de agentes a largo plazo

Un artículo de mayo de 2026 adapta la idea de la shadow stack para dotar a los agentes LLM de una memoria de seguridad paralela, reduciendo un ataque multironda del 100 % al 8,3 %.

2026-07-06 // 6 min affects: gpt-5.1, gpt-4o-mini, qwen3-235b, llama-3.3-70b

¿Qué es esto?

El 4 de mayo de 2026, investigadores de la Universidad de Stony Brook y de Cisco publicaron MAGE (Memory As Guardrail Enforcement), una defensa dirigida a una clase de ataque que los controles de una sola ronda pasan por alto con frecuencia: las amenazas a largo plazo. Son ataques que explotan interacciones prolongadas entre usuario, agente y entorno, donde la intención maliciosa, en palabras de los autores, «solo emerge a nivel de trayectoria, mientras permanece latente dentro de cada ronda».

El ejemplo canónico es el ataque de encadenamiento de herramientas: una secuencia de llamadas a herramientas individualmente inocuas cuyo efecto acumulado es destructivo —exfiltración de datos, pérdida financiera, violación de políticas—. Cada paso parece correcto para un filtro de una sola ronda. Solo la trayectoria completa es maliciosa. El mismo patrón aparece en el envenenamiento multironda y en la inyección de prompts persistente, y es precisamente aquello a lo que el alineamiento de seguridad clásico, entrenado en contextos cortos, no logra generalizar.

Cómo funciona

MAGE toma prestada una abstracción de la seguridad de sistemas: la shadow stack, que protege contra el secuestro del flujo de control manteniendo una copia separada y protegida de las direcciones de retorno. MAGE ejecuta una memoria en la sombra análoga, en paralelo a la memoria de trabajo del agente. Mientras la memoria de trabajo se optimiza para completar la tarea, la memoria en la sombra destila selectivamente solo el contexto crítico para la seguridad a medida que se desarrolla la trayectoria y descarta el resto.

Dos componentes se apoyan sobre ella. Un gestor de memoria actualiza la memoria en la sombra en cada ronda, y un juez realiza una inspección retrospectiva de la trayectoria y dictamina sobre la acción pendiente, devolviendo tanto una decisión (aprobar o rechazar) como una justificación legible por un humano. En concreto, antes de que se ejecute cada acción, MAGE impone un punto de control: el gestor de memoria refresca la memoria en la sombra, el juez evalúa la acción pendiente frente a ella y la ejecución se reanuda solo si el juez la aprueba; de lo contrario la acción se bloquea y la justificación se traslada a un operador humano.

Ambos roles se implementan como llamadas de herramienta a un LLM externo (un mismo modelo compartido, diferenciado mediante prompts específicos de cada rol), de modo que MAGE se integra en un agente existente sin reentrenar el modelo objetivo. La elección también importa para el coste: reevaluar ingenuamente toda la trayectoria en cada ronda es cuadrático, mientras que destilar en una memoria en la sombra de tamaño fijo mantiene lineal el sobrecoste agregado en tokens. El gestor y el juez se ajustan con una variante de aprendizaje por refuerzo ronda a ronda que desacopla las señales de recompensa de actualización de memoria y de evaluación de riesgo; los autores muestran que, sin ese entrenamiento, un juez no entrenado solo alcanza cero éxito de ataque rechazándolo casi todo, lo que destruye la utilidad legítima.

Por qué importa

Los resultados cuantifican lo expuestos que están los agentes sin protección a lo largo de varias rondas. Contra el Sequential Tool-Attack Chaining en el benchmark SHADE-Arena, con un agente GPT-5.1, la tasa de éxito de los ataques subió de en torno al 89,7 % en dos rondas al 100 % en cinco o más. MAGE, ejecutándose sobre un pequeño backbone Qwen3-4B, mantuvo el éxito de los ataques entre aproximadamente el 4,6 % y el 10 % en todos los horizontes: una caída global del 100 % al 8,3 % preservando el 94,4 % de utilidad legítima, con unos 7.000 tokens adicionales por tarea. En un escenario entorno-adversario sobre un AgentDojo ampliado (suites de banca y Slack, hasta 18 llamadas a herramientas por tarea), MAGE redujo la tasa de éxito de la inyección de prompts indirecta persistente al 0,0 % manteniendo la utilidad legítima al nivel de la referencia sin defensa, en agentes GPT-4o-mini, Qwen3-235B y Llama-3.3-70B.

Dos puntos destacan para los defensores. La detección fue temprana —latencia media cercana a cero rondas—, de modo que la acción maliciosa solía interceptarse en el momento en que aparecía. Y defensas rivales que parecían competitivas en modelos de frontera se degradaban en agentes de pesos abiertos: una de las defensas previas comparadas en el artículo cayó al 42,1 % de éxito de ataque en Llama-3.3 y al 20,7 % en Qwen3, donde MAGE se mantenía cerca de cero.

Defensas

La lección va más allá de este sistema concreto. Trate el contexto de seguridad como un estado a nivel de trayectoria, no como un añadido ronda a ronda: mantenga un registro compacto y protegido de la intención del usuario y de los patrones de ataque conocidos que sobreviva a la compactación del contexto, e inspeccione las acciones pendientes frente a ese registro antes de que se ejecuten, no después. Mantenga explícitos la memoria de seguridad y su esquema: las ablaciones muestran que eliminar el campo de intención del usuario o el campo de patrones de ataque aumentaba de forma medible el éxito de los ataques. Imponga un punto de control estricto para que una acción bloqueada detenga al agente, y registre la justificación del juez para que una trayectoria desviada quede auditable. Por último, las propias pruebas de ataques adaptativos de MAGE recuerdan que todo monitor es a su vez un objetivo: una memoria en la sombra sin protección podría envenenarse, y solo la configuración entrenada resistió cuando el adversario apuntaba específicamente a la memoria y al juez.

Los autores son claros sobre el alcance: MAGE se evaluó con dos ataques largos representativos, en configuraciones de un solo agente, y señalan como trabajo abierto el envenenamiento de memoria, la deriva de objetivos, los agentes de programación y de uso de ordenador, y la extensión multiagente.

Estado

AspectoDetalle
DivulgaciónPreprint de arXiv, enviado el 4 de mayo de 2026
ClaseDefensa — control de ejecución a nivel de trayectoria para ataques de agentes a largo plazo
Probado enAgentes GPT-5.1, GPT-4o-mini, Qwen3-235B, Llama-3.3-70B; backbone de defensa Qwen3-4B
Ataques evaluadosSequential Tool-Attack Chaining (SHADE-Arena); inyección de prompts indirecta persistente (AgentDojo)
ResultadoSTAC 100 % → 8,3 % ASR con 94,4 % de utilidad; PI2 → 0,0 % ASR
Explotado en la prácticaNo reportado; hallazgo de investigación

Sources