sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

La procedencia a nivel de argumento detiene la inyección donde fallan las defensas por llamada

Un artículo de mayo de 2026 sostiene que la inyección indirecta solo se vuelve peligrosa cuando un dato no confiable vincula un argumento portador de autoridad. PACT verifica la procedencia argumento por argumento.

2026-07-03 // 8 min affects: llm-agents, agentdojo, tool-using-agents

¿Qué es esto?

El 11 de mayo de 2026, investigadores de la Universidad Renmin de China, KAUST, la Universidad de Finanzas y Economía del Noreste y la USTC publicaron The Granularity Mismatch in Agent Security: Argument-Level Provenance Solves Enforcement and Isolates the LLM Reasoning Bottleneck. Su tesis central replantea cómo pensamos la inyección indirecta: el peligro no es que un texto no confiable aparezca en el contexto de un agente, sino que se le permita determinar un argumento portador de autoridad de una llamada de herramienta privilegiada.

La inyección de prompt indirecta es el caso en que un agente lee un dato de terceros —una página web, un correo, un archivo recuperado, una respuesta de API— y ese dato contiene instrucciones que el atacante quiere ejecutar. La tarea del usuario es legítima; el canal de datos no lo es. La contribución del artículo es ubicar la frontera de seguridad con más precisión que los trabajos previos y construir un monitor de ejecución en torno a esa frontera.

Cómo funciona

El punto de partida del artículo es un desajuste de granularidad. La mayoría de las defensas existentes median la confianza al nivel de una llamada de herramienta completa: permiten o bloquean la llamada en su conjunto. Consideremos un agente al que se le pide resumir una página web y enviar el resumen a un destinatario fijo. La página debe determinar el cuerpo del correo: esa es la tarea. Nunca debe determinar el destinatario. Una política global sobre una llamada como send_email(recipient, body) no puede expresar esa distinción. Bloquee la llamada cada vez que un argumento dependa de la página y destruirá el flujo legítimo de «recuperar y actuar»; permítala y una instrucción inyectada puede redirigir el destinatario hacia un atacante.

La respuesta de los autores es PACT (Provenance-Aware Capability Contracts), un monitor de ejecución que traslada el control al interior de la llamada de herramienta. Cada herramienta recibe un contrato a nivel de argumento que asigna roles semánticos —target, command, credential, content— a sus argumentos. Durante la ejecución, PACT rastrea de dónde proviene cada valor a través de los pasos de replanificación, y antes de cada invocación verifica si el origen de un argumento satisface el requisito de confianza que impone su rol. Un dato externo puede rellenar un campo content como un resumen o el cuerpo de un informe, pero se le impide vincular un campo portador de autoridad como un destinatario, una URL, un comando de shell, una consulta de base de datos, una ruta de archivo o una credencial. Punto clave: PACT no es un detector de cadenas de apariencia maliciosa, sino una restricción estructural sobre lo que el dato no confiable tiene permitido controlar, que se sostiene incluso cuando el texto hostil no se identifica perfectamente.

Los resultados reportados respaldan el planteamiento. Bajo procedencia oráculo en conjuntos de diagnóstico de confianza mixta, PACT alcanza 100 % de utilidad y 100 % de seguridad, mientras que los monitores a nivel de llamada incurren en falsos positivos, falsos negativos, o ambos. En despliegues completos sobre AgentDojo y cinco modelos con inferencia automática de procedencia, PACT logra 100 % de seguridad en los tres modelos más fuertes recuperando entre 38,1 % y 46,4 % de utilidad, de 8 a 16 puntos por encima de la referencia CaMeL al mismo nivel de seguridad. Las ablaciones muestran que ambos ingredientes son esenciales: retire los roles semánticos y la utilidad benigna se derrumba; retire la procedencia entre pasos y la seguridad falla.

Por qué importa

La lección práctica trata de dónde trazar las fronteras de confianza. Las defensas por llamada completa imponen una disyuntiva frágil entre seguridad y utilidad, precisamente porque una misma llamada suele mezclar argumentos confiables y no confiables. Replantear la inyección como un problema de vinculación de autoridad disuelve esa disyuntiva, en principio. PACT también nombra con honestidad su propia debilidad residual: la brecha de despliegue se concentra en la inferencia de procedencia y la síntesis de contratos —decidir el rol de cada argumento y rastrear correctamente su origen— más que en la política de control en sí. Ese es un objetivo más abordable que «hacer que el modelo ignore el texto hostil».

Defensas

Puntos concretos aplicables desde ya:

  • Traslade la decisión de confianza por debajo de la llamada de herramienta. Pregunte no «¿un dato no confiable influyó en esta llamada?» sino «¿qué argumento influyó, y ese rol tiene permitido portar datos externos?» Deje que el contenido externo rellene los campos de contenido, prohibiéndole vincular destinatarios, comandos, rutas, consultas o credenciales.
  • Clasifique los argumentos de herramienta según la autoridad. Para cada herramienta que su agente pueda llamar, etiquete qué argumentos dirigen la autoridad (a dónde va una acción, qué se ejecuta) frente a los que solo portan contenido. Ese inventario es el prerrequisito del control a nivel de argumento.
  • Rastree la procedencia a través de la replanificación, no solo un paso. La inyección suele aterrizar varias llamadas antes de la acción peligrosa. Un control que solo inspecciona la llamada inmediata pierde los valores «lavados»; propague las etiquetas de origen por toda la cadena.
  • Trátelo como complementario, no como una solución mágica. Los contratos de rol de argumento restringen la vinculación de autoridad aun si una cadena maliciosa se cuela, pero no detienen contenido dañino dentro de un campo content legítimamente externo, ni los errores de asignación de rol. Combínelos con filtrado de contenido, control de flujo de información y políticas de acceso a nivel de sistema.

Estado

El trabajo es un preprint de investigación (arXiv 2605.11039, enviado el 11 de mayo de 2026), evaluado sobre el benchmark abierto AgentDojo y comparado con CaMeL y referencias de control de flujo de información. Es un método defensivo, no una vulnerabilidad de producto divulgada: no hay CVE ni parche que aplicar. Las cifras reportadas son de los autores y esperan una réplica independiente.

Sources