sistema: OPERATIVO
← volver a todos los hacks
AGENTS MEDIUM NEW

El Misattribution Gap: el envenenamiento de memoria que se le achaca al modelo

Un único documento con formato de «política interna», subido una sola vez a la memoria compartida de un agente, produce violaciones idénticas a un fallo de alineamiento — así que los equipos reentrenan el modelo y dejan el ataque intacto.

2026-07-06 // 7 min affects: gpt-oss-20b, rag-agents, multi-agent-pipelines, shared-memory-agents

¿Qué es esto?

El Misattribution Gap es una debilidad estructural en la forma en que los equipos diagnostican a un agente de IA que se comporta mal, descrita en un artículo publicado el 12 de mayo de 2026 por investigadores de la University of Texas at El Paso, la Southern Illinois University Carbondale y la University of Illinois Urbana-Champaign (arXiv:2605.22842, «The Misattribution Gap: When Memory Poisoning Looks Like Model Failure in Agentic AI Systems»). La observación central es incómoda: cuando un agente produce una violación de política porque su memoria compartida fue envenenada, el comportamiento resultante es indistinguible de un modelo que simplemente se ha desalineado. La gobernanza de IA estándar responde de la única manera que conoce —hacer red team al modelo, inspeccionar su atención, reentrenar— y la violación se detiene, luego regresa un ciclo de reporte después, porque el documento envenenado sigue en el almacén vectorial. El artículo indica que, en la totalidad de los 64 fallos documentados de su corpus, el mecanismo de atribución culpó con confianza al modelo. El ataque que causó el daño nunca estuvo en el modelo.

Cómo funciona

Los autores formalizan el ataque subyacente como Semantic Norm Drift (SND), que presentan como una tercera vía estructuralmente distinta hacia la mala conducta del agente —ortogonal al desalineamiento emergente y a la colusión encubierta entre múltiples agentes—. El mecanismo es deliberadamente mundano. Un atacante que no dispone más que de acceso ordinario para subir documentos coloca, en un almacén vectorial compartido, un archivo con formato que aparenta ser una política interna legítima (su ejemplo recurrente es un documento disfrazado de política de cumplimiento SOX §302). Mediante lo que el artículo llama la Trust Laundering Chain (cadena de blanqueo de confianza), ese documento se recupera en sesiones posteriores y se vuelve a presentar a los agentes como contexto de sistema de confianza, con su procedencia original perdida de forma permanente en el proceso. Los agentes entonces citan el texto inyectado como autoridad normativa en su propio razonamiento y lo obedecen —en el estudio, 59 de 65 entradas válidas mostraron exactamente este patrón de razonar-y-luego-cumplir—. Sin frase desencadenante, sin acceso a los pesos del modelo y sin necesidad de interacción repetida: el artículo reporta efecto completo en cinco sesiones, sostenido indefinidamente. Describimos aquí la forma del ataque, no una plantilla explotable; el argumento es arquitectónico y no hace falta ningún payload funcional para entenderlo.

Por qué importa

Lo que va más allá de una simple reformulación del trabajo conocido sobre envenenamiento de memoria es el resultado de detección. Los investigadores ejecutaron cuatro clasificadores de seguridad —incluido uno entrenado específicamente para detectar envenenamiento de memoria— sobre 510 puntos de control, y registraron cero detecciones. Como la salida envenenada se parece exactamente a lo que un modelo genuinamente desalineado podría decir, los clasificadores del lado de la salida no tienen nada anómalo a lo que aferrarse. La consecuencia para los defensores es una trampa de gobernanza: reentrenar tras un incidente SND consume recursos reales, produce un registro documental que parece una remediación exitosa y deja el ataque plenamente en su sitio. En entornos regulados el daño es concreto —el ejemplo trabajado del artículo es un pipeline de reporte financiero de tres agentes que empieza a filtrar identificadores de cliente en bruto en los resúmenes destinados al consejo de administración, una violación directa de la política interna de gobernanza de datos y del Artículo 5 del RGPD—. Cualquier empresa que ejecute agentes RAG sobre una base de conocimiento compartida y escribible, donde varios usuarios o inquilinos pueden aportar documentos, está expuesta al mismo bucle de diagnóstico erróneo.

Defensas

La lección central del artículo es que la corrección debe desplazarse del modelo a la frontera de la memoria, y de la inspección de salidas a la procedencia y la atribución causal. Se evalúan tres defensas. El Counterfactual Composition Testing (CCT) reejecuta el pipeline retirando entradas de memoria de forma individual para hallar qué elemento recuperado es causalmente responsable de una violación; el artículo indica que localiza la entrada causal con un 87,5 % de precisión y cero falsas alarmas, frente a una línea base forense que quedó ciega en los 25 escenarios. El Retrieval Concentration Monitoring vigila la sobrerrepresentación característica de un único documento inyectado en lo que se recupera. El Memory-Persistent Information-Flow Control (MP-IFC) hace circular etiquetas de confianza a lo largo de las rutas de escritura y recuperación, de modo que un contenido subido como dato no fiable no pueda resurgir en silencio como contexto de sistema de confianza; los autores reportan que bloquea el 97 % de los ataques en la frontera entre sesiones, allí donde el estado del arte previo falla en todos los casos informativos. También plantean un Retrieval-Coverage Dilemma: evadir la monitorización de concentración exige estructuralmente debilitar el propio ataque, lo que hace que el enfoque resista los bypasses adaptativos que derrotaron a doce defensas anteriores. Para los equipos que despliegan hoy, las conclusiones prácticas: tratar todo documento subido como una entrada no fiable que nunca debe promoverse a autoridad de sistema sin una verificación explícita de procedencia, registrar y etiquetar el origen de cada escritura en memoria, añadir un paso de atribución causal antes de concluir «fue el modelo», y segmentar los almacenes de memoria por inquilino y nivel de confianza para que una sola subida no contamine el contexto de todos. Los investigadores publican un benchmark asociado (un corpus de memoria adversario con verdad de terreno causal en escenarios financieros y sanitarios) para que los defensores pongan a prueba su propia atribución antes de que un incidente plantee la pregunta.

Estado

Se trata de un resultado de investigación sobre una clase de sistemas RAG agénticos, no del CVE de un fabricante concreto. Las cifras a continuación proceden del preprint público y de su página de proyecto.

ElementoDetalle
TécnicaSemantic Norm Drift (SND) — un documento con formato de política envenena la memoria compartida y resurge como contexto de confianza
Afirmación centralEl Misattribution Gap: los artefactos del envenenamiento de memoria son idénticos a un desalineamiento del modelo, por lo que se culpa y reentrena al modelo mientras el ataque persiste
Requisito del atacanteAcceso ordinario para subir documentos; sin acceso al modelo, sin desencadenante, sin interacción repetida
Evasión de detección reportadaCero detecciones en cuatro clasificadores de seguridad (uno entrenado en envenenamiento de memoria) sobre 510 puntos de control
Patrón de razonamiento reportadoLos agentes citaron el documento inyectado como autoridad y luego lo obedecieron en 59 de 65 entradas válidas
Defensas propuestasCounterfactual Composition Testing (87,5 % de precisión de atribución causal), Retrieval Concentration Monitoring, Memory-Persistent Information-Flow Control (97 % bloqueado en la frontera entre sesiones)
PublicaciónPreprint arXiv:2605.22842v1, 12 de mayo de 2026
EstadoResultado de investigación; las mitigaciones son controles de memoria conscientes de la procedencia y atribución causal, no un parche

Sources