sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

El blanqueo de memoria derrota las defensas por contenido y por linaje de los agentes

Un artículo de junio de 2026 demuestra que cualquier defensa que base la autoridad de un elemento de memoria en su contenido o en su historial de derivación puede blanquearse — y que solo la vinculación de origen en la escritura detiene el envenenamiento de memoria de los agentes.

2026-07-02 // 7 min affects: llm-agents, agent-memory, rag-pipelines, multi-agent-systems

What is this?

Un artículo de arXiv de junio de 2026 aborda un problema que la mayoría de las defensas de memoria de agentes ignoran en silencio: un atacante no necesita que un elemento de memoria siga pareciendo malicioso para que se vuelva de confianza. Los agentes LLM conservan cada vez más una memoria a largo plazo entre sesiones, y esa persistencia crea una vulnerabilidad de efecto retardado: un contenido no confiable almacenado en una sesión puede orientar una llamada a herramienta de consecuencias graves en una sesión posterior, mucho después de que la inyección haya salido de cualquier ventana de contexto. La aportación del artículo no es un filtro más. Es una demostración, respaldada por pruebas en ocho modelos de frontera, de que toda una clase de defensas existentes es incorrecta, y una formulación precisa de lo que una defensa correcta debe hacer en su lugar.

La idea nueva central es el blanqueo (laundering). Las defensas anteriores asignan la autoridad de un elemento de memoria según una de dos señales: su contenido (¿el texto parece una instrucción, lo marca un clasificador?) o su historial de derivación (¿qué dice el linaje sobre su procedencia?). El artículo muestra que ambas señales son maleables: un atacante puede lavar un origen no confiable haciéndolo pasar por los propios engranajes del agente.

How it works

El artículo formaliza la maleabilidad e identifica tres vías de blanqueo, ninguna de las cuales requiere una carga útil de explotación: abusan de comportamientos de agente corrientes y considerados de confianza:

  1. Blanqueo por resumen. El agente lee contenido controlado por el atacante y escribe un resumen en memoria. El resumen lleva ahora la voz del agente y un linaje de «generado por mí», aunque su sustancia procede de una fuente no confiable.
  2. Eco de herramienta de confianza. El texto no confiable se refleja a través de una herramienta en la que el agente confía (un resultado de búsqueda, un acierto de recuperación, una respuesta de API), de modo que el linaje registra un intermediario de confianza en lugar del origen real.
  3. Corroboración fabricada. El atacante planta la misma afirmación en varias fuentes para que una heurística ingenua del tipo «varias fuentes coinciden» la eleve a alta confianza.

De estos mecanismos, el artículo deriva una breve cadena de resultados. Primero, ninguna defensa basada en el contenido o el linaje es válida frente al blanqueo: si la autoridad se deriva de cualquiera de esas señales, el blanqueo puede falsificarla. Segundo, la vinculación de origen en la escritura es necesaria: la verdadera fuente de un elemento de memoria debe registrarse, de forma a prueba de manipulaciones, en el momento en que se escribe, porque cualquier origen inferido a posteriori puede reescribirse. Tercero, una autoridad ligada al origen y no maleable, con elevación por corroboración resistente a Sybil, es suficiente: vincular el origen en la escritura, hacer que los elementos derivados hereden la autoridad de sus entradas en lugar de fabricar autoridad nueva, y elevar un elemento al nivel accionable solo cuando orígenes independientes e infalsificables lo corroboren.

La construcción que lo implementa, TMA-NM (Tamper-evident Memory Authority, Non-Malleable), aplica un control de flujo de información no maleable a la memoria del agente. En ocho modelos de frontera, las cifras reportadas son contundentes: las defensas existentes fracasan con hasta un 68 % de tasa de éxito de ataque por blanqueo, mientras que TMA-NM alcanza un 0 % de éxito de ataque, tanto en ataques directos como de blanqueo.

Why it matters

La mayoría de los trabajos sobre seguridad de la memoria publicados este año — desde el artículo de defensa certificada SMSR hasta el estudio sistemático de los ataques de envenenamiento de memoria y la síntesis sobre soberanía mnésica — se han centrado en detectar escrituras maliciosas o en certificar la robustez frente a un número acotado de entradas envenenadas. El blanqueo es un modelo de amenaza distinto: la entrada envenenada ya no es maliciosa cuando se juzga de confianza, porque el propio agente la reescribió en algo limpio. Por eso los controles basados en clasificadores o en linaje rinden por debajo aquí, y por eso el resultado se generaliza en vez de apuntar a un solo producto.

Para quien despliega un agente con memoria persistente, la advertencia práctica es que la recuperación no es la vulnerabilidad; la autoridad lo es. Si su arquitectura permite que un resumen, un eco de herramienta o un coro de fuentes gemelas promuevan un contenido al nivel en que puede desencadenar un pago, un correo o un cambio de código, tiene una superficie de blanqueo — por muy bueno que sea su filtro de entrada.

Defenses

La demostración del artículo se traduce en una lista de verificación concreta:

  1. Vincular el origen en la escritura. Registre la verdadera fuente de cada elemento de memoria cuando se escribe, con una procedencia a prueba de manipulaciones (firmada o con HMAC), de modo que el origen no pueda reatribuirse después.
  2. Hacer que los elementos derivados hereden la autoridad, nunca la acuñen. Un resumen, un embedding o una reformulación deben llevar la menor confianza de sus entradas. Nunca deje que el hecho de que el agente reescriba un contenido eleve la autoridad de ese contenido.
  3. Separar la recuperación de la autoridad. Recuperar una memoria está bien; actuar sobre ella es el paso a controlar. Condicione las llamadas a herramientas de alto impacto a una autoridad ligada al origen, no a que el elemento se haya recuperado.
  4. Exigir corroboración resistente a Sybil para la elevación. Antes de promover una memoria al nivel accionable, exija orígenes independientes que un atacante no pueda fabricar a bajo coste — no un recuento de entradas textualmente similares.
  5. Hacer red team de las vías de blanqueo, no solo de la inyección directa. Pruebe si el resumen, los ecos de herramientas de confianza y la corroboración fabricada pueden lavar un origen no confiable hasta convertirlo en uno de confianza en su pila. Las suites de prueba de inyección directa lo pasarán por alto.
  6. Registrar las escrituras para el análisis forense. Unos registros de escritura a prueba de manipulaciones hacen que una defensa que hoy considera de confianza deje, aun así, un rastro de auditoría si más tarde se descubre un blanqueo.

Status

ElementoReferenciaFechaNotas
Artículo de autoridad de memoria no maleablearXiv:2606.243222026-06Formaliza el blanqueo; demuestra que la vinculación de origen en la escritura es necesaria y suficiente con elevación por corroboración
Benchmark reportadoMismo artículo2026-068 modelos de frontera; defensas previas hasta 68 % de éxito por blanqueo; TMA-NM 0 % en directo + blanqueo
Defensa certificada relacionadaarXiv:2606.12703 (SMSR)2026-06Procedencia firmada + recuperación suavizada; certifica frente al envenenamiento multisesión
Taxonomía de ataquesarXiv:2606.043292026-06Estudio sistemático de los ataques de envenenamiento de memoria en agentes LLM
Síntesis de ciclo de vidaarXiv:2604.165482026-04Seguridad de la memoria a largo plazo en todo el ciclo de vida

La conclusión correcta no es «aquí hay un mejor filtro de memoria». Es que la confianza de un elemento de memoria debe anclarse a su procedencia, en el momento en que llegó — y nada de lo que el agente haga después debería poder moverla. Cualquier defensa que juzgue la autoridad a partir del texto o de su relato a posteriori es, según este resultado, blanqueable.

Sources