Las defensas fuera de banda contra la inyección aún no han enfrentado a un atacante adaptativo
Un artículo de junio de 2026 advierte: las defensas de monitor de referencia como CaMeL y Progent aún se evalúan con benchmarks estáticos — el mismo método que hizo parecer fuertes a las defensas in-band hasta que los ataques adaptativos las rompieron.
¿Qué es esto?
El 25 de junio de 2026, investigadores de LaunchSafe publicaron Adaptive Evaluation of Out-of-Band Defenses Against Prompt Injection in LLM Agents. El artículo plantea una observación incómoda sobre las defensas de las que el campo es hoy más optimista. Un agente con herramientas lee texto que no controla —una página web, un ticket de soporte, un PDF, el cuerpo de un correo— y cuando un atacante inserta instrucciones allí, el resultado no es una frase inconveniente sino una acción: un registro filtrado, una fila borrada, una transferencia. En un agente con herramientas, la inyección de prompts es un problema de autorización, no de contenido.
La primera generación de defensas lo trataba como contenido —clasificadores de entrada, modelos guardarraíl, ajuste fino adversarial. A finales de 2025 ese enfoque tenía un fallo documentado: Nasr et al. tomaron doce defensas in-band publicadas, la mayoría con tasas de éxito casi nulas, y recuperaron tasas superiores al 90 % en casi todas mediante ataques adaptativos y conscientes de la defensa. La segunda generación sacó la aplicación fuera del modelo —CaMeL, FIDES, Progent, RTBAS, Conseca, FORGE— con una política determinista que decide qué acciones se permiten, sin importar lo que hayan convencido al modelo de hacer. La advertencia del artículo: estas defensas más nuevas se validan igual que las que fallaron.
Cómo funciona
Las defensas fuera de banda son, según los autores, un redescubrimiento de primitivas de seguridad de los años setenta: la integridad de Biba (leer datos no confiables rebaja al sujeto; un sujeto rebajado no puede autorizar una acción de alta integridad), el monitor de referencia (mediar cada acción, ser inviolable, seguir siendo lo bastante pequeño para verificarlo), el mínimo privilegio de Saltzer–Schroeder, y las capacidades / control de flujo de información. La lección recurrente de los desbordamientos de búfer, la inyección SQL y el XSS es la misma: la detección perdió y la estructura ganó, y esa estructura vivía fuera del canal que controlaba el atacante. El lenguaje natural no tiene una gramática que separe código y datos, así que esa separación no puede aplicarse dentro del modelo y debe aplicarse a su alrededor.
Las cifras reportadas son llamativas. Progent reduce el éxito de la inyección indirecta en el benchmark AgentDojo del 39,9 % al 1,0 %; CaMeL resuelve el 77 % de las tareas de AgentDojo bajo ataque sin ninguna inyección exitosa en su modelo de amenaza. Pero cada una de esas cifras proviene de un benchmark estático —un conjunto fijo de intentos de inyección elegido antes de que la defensa existiera. Ese es exactamente el método que medía la «resistencia a un conjunto de ataques conocido» y que se leyó erróneamente como «resistencia a los atacantes».
Para empezar a cerrar la brecha, los autores realizaron una evaluación adaptativa contra Progent en un agente de pesos abiertos (Qwen2.5-7B, autoalojado en un solo H200) —un escenario que los autores de Progent no habían probado. En tres ejecuciones, la barrera determinista se mantuvo: la tasa de éxito media cayó unas seis veces (25,8 % a 4,2 %), y un ataque adaptativo hecho a mano, dirigido al modelo redactor de políticas de Progent, no la aumentó (2,6 %). El resultado se sitúa en la misma franja baja que reportan los autores de Progent, y sugiere que una barrera determinista es un objetivo más difícil por naturaleza que un clasificador: el atacante debe ejecutar una acción con consecuencias respetando la política, no solo engañar a un detector.
Por qué importa
La lectura honesta: es un dato, no un veredicto. Los autores son explícitos: una sola defensa, un solo modelo de pesos abiertos débil, y una sola plantilla de ataque de caja negra. No se lanzó ningún ataque optimizado de caja blanca (GCG), ni ningún ataque restringido a las herramientas ya autorizadas. Un sesgo probable: el encuadre de «disfrazar como benigno» también debilitó la instrucción dirigida al agente, de modo que la cifra baja podría reflejar tanto un ataque débil como una defensa fuerte.
Lo que se sostiene en todo caso es la advertencia metodológica. La confianza en las defensas fuera de banda descansa hoy en el mismo método de evaluación cuyo punto ciego quedó demostrado para las defensas in-band. Varias limitaciones también se sostienen por construcción: la mediación de acciones no hace nada contra los daños texto-a-texto (un resumen envenenado), la asignación de procedencia es una base de confianza infraespecificada, las tareas «en el bucle» recaen en el visto bueno del usuario (con su fatiga de aprobación), y CaMeL demuestra canales laterales funcionales contra sí mismo. La protección tampoco es gratis: las ejecuciones defendidas costaron unas 15× más llamadas al modelo y bajaron la utilidad de las tareas del ~45 % al ~26 %.
Defensas
Para los equipos que construyen o compran seguridad de agentes, el artículo es tanto una guía de compra y prueba como una nota de investigación.
- Prefiera la mediación de acciones determinista y fuera de banda. Un monitor de referencia en la frontera de las herramientas es una base más sólida que cualquier clasificador o guardarraíl a nivel de modelo. La barrera que decide no debe ser ella misma un modelo.
- No tome las cifras de benchmark estático como garantías. Un titular «39,9 % → 1,0 %» describe ataques elegidos antes de que la defensa existiera. Exija a los proveedores una evaluación adaptativa y consciente de la defensa, incluyendo ataques optimizados y confinados a las acciones ya autorizadas.
- Asegure la procedencia. Todo el enfoque descansa en etiquetar correctamente qué entradas son de confianza. Especifique exactamente qué cabecera, qué segmento o qué agente aguas arriba fija la integridad: una etiqueta olvidada que pasa a «confiable» por defecto rompe el invariante en el origen.
- Mantenga la defensa en profundidad. Los filtros in-band conservan valor como una capa frente a ataques no adaptativos; simplemente no los trate como una frontera.
- Presupueste el coste. Espere un coste de tokens/latencia notablemente mayor y cierta pérdida de utilidad, y vigile la tasa de solicitudes de aprobación como señal de usabilidad y de exposición.
- Limite el radio de impacto. El mínimo privilegio en las herramientas, los límites de salida de red y la vigilancia de acciones con consecuencias anómalas acotan lo que una inyección exitosa puede hacer, incluso si el monitor es burlado.
Estado
| Elemento | Detalle |
|---|---|
| Publicación | Adaptive Evaluation of Out-of-Band Defenses (LaunchSafe), 25 de junio de 2026 |
| Defensas estudiadas | CaMeL, FIDES, Progent, RTBAS, Conseca, FORGE (fuera de banda) |
| Objetivo empírico | Progent sobre Qwen2.5-7B, AgentDojo (banking/slack/workspace), 3 ejecuciones |
| Resultado clave | ASR media 25,8 % → 4,2 % (defendido) → 2,6 % (adaptativo); la barrera aguantó |
| Coste | ~15× más llamadas al modelo; utilidad ~45 % → ~26 % |
| Amenaza abierta | Ataque optimizado de caja blanca, y ataques confinados a acciones autorizadas — sin probar |
El mensaje no es «estas defensas están rotas». Es lo contrario de lo que los ataques adaptativos hicieron a las defensas in-band —pero sobre la base de un solo ataque débil contra un solo modelo débil, aún no establece que la aplicación fuera de banda resistirá ante un atacante adaptativo serio y optimizado. Esa evaluación sigue siendo el trabajo que el campo se debe a sí mismo.