Los agentes recopilan más de lo que revelan: auditar la privacidad en la fase de adquisición
Un benchmark de junio de 2026 inspecciona el momento en que los datos sensibles entran en el contexto del agente, no solo lo que divulga después — y la sobrerrecopilación es generalizada.
¿Qué es esto?
La mayoría de las evaluaciones de privacidad para agentes LLM plantean una sola pregunta: ¿salieron datos sensibles del sistema? Inspeccionan la respuesta final o las acciones salientes y comprueban si un número de teléfono, un detalle médico o el salario de un compañero acabaron en la salida. Un benchmark publicado en arXiv en junio de 2026, PrivacyPeek: Auditing What LLM-Based Agents Acquire, Not Just What They Say (arXiv:2606.00152), sostiene que esto pasa por alto un fallo anterior y más grave. Antes de poder filtrar nada, un agente primero debe adquirir el dato — introducirlo en su contexto mediante una llamada a una herramienta, un paso de recuperación o una consulta a una base de datos. El artículo reformula la pregunta en torno a ese momento de recopilación: no «¿debería haber salido este dato?», sino «¿debería el agente haberlo recopilado siquiera?».
El enfoque importa porque es en la fase de adquisición donde vive realmente el principio de minimización de datos. Un agente que lee sigilosamente toda su agenda para responder a una pregunta sobre la reunión de mañana ya ha violado el mínimo privilegio, aunque nunca le repita un solo evento no relacionado.
Cómo funciona
PrivacyPeek separa dos cosas que la mayoría de los benchmarks confunden. La primera es la Probe Elicitation — la prueba habitual de si se puede inducir al agente a decir algo sensible. La segunda, y es la contribución del artículo, es la Acquisition Inspection: la lectura de la trayectoria de llamadas a herramientas del agente para detectar cuándo fue a buscar datos fuera del alcance de la tarea encomendada.
En concreto, el benchmark proporciona una tarea, un entorno con herramientas y una definición de los datos que la tarea requiere legítimamente. Mientras el agente se ejecuta, su secuencia de llamadas a herramientas se registra y se contrasta con ese alcance. Si la tarea es «buscar un restaurante cerca de la oficina para el jueves» y la trayectoria incluye una llamada que recupera los métodos de pago guardados o contactos no relacionados, se marca como sobreadquisición — aparezca o no en la respuesta. Los autores construyeron el conjunto de casos mediante una canalización con supervisión humana, produciendo 1.182 casos que abarcan 7 comportamientos de adquisición y 16 dominios de aplicación, ejecutados contra 10 agentes de 4 familias de modelos.
El resultado principal es que la adquisición innecesaria de información sensible está generalizada entre los agentes probados — un patrón invisible para cualquier evaluación que solo lea la salida final. Esto coincide con un panorama publicado el mismo mes, Agents That Know Too Much: A Data-Centric Survey of Privacy in LLM Agents (arXiv:2606.26627), y extiende la óptica de integridad contextual de trabajos previos como Beyond Jailbreaking: Auditing Contextual Privacy in LLM Agents (arXiv:2506.10171), pasando de lo que los agentes divulgan a lo que tocan.
Por qué importa
La brecha es arquitectónica, no cosmética. Una prueba de privacidad centrada en la salida puede certificar un agente como «seguro» mientras absorbe rutinariamente datos que no tiene por qué leer. Esa exposición es real incluso sin filtración: los datos adquiridos permanecen en la ventana de contexto, donde una inyección de prompt posterior puede exfiltrarlos; acaban en los registros y trazas que conserva la plataforma; y amplían el radio de impacto de cualquier compromiso ulterior. Un agente conectado a herramientas amplias — correo, archivos, agendas, CRM — con tendencia a sobrerrecopilar es un pasivo permanente, porque el material sensible ya está dentro del perímetro antes de que aparezca ningún atacante.
También rompe una suposición de cumplimiento habitual. Las obligaciones de minimización, bajo regímenes como el RGPD, se refieren a la recopilación y el tratamiento, no solo a la divulgación. Un agente que lee mucho más de lo que exige una tarea constituye un problema de minimización por sí mismo, que una auditoría centrada únicamente en la salida nunca sacará a la luz.
Defensas
Trate la adquisición como un punto de control de primer orden, en lugar de suponer que una respuesta limpia significa un comportamiento limpio.
Audite la trayectoria, no solo la salida. Registre cada llamada a herramienta y cada recuperación, y evalúelas frente a los datos que la tarea realmente necesita — es exactamente lo que formaliza la Acquisition Inspection. Una batería de pruebas que solo lea las respuestas finales dejará pasar a los agentes que sobrerrecopilan.
Acote las herramientas a la tarea. Prefiera herramientas estrechas y con finalidad definida («obtener los eventos de la agenda del jueves») antes que amplias («leer todos los datos de la agenda»), de modo que el agente no pueda físicamente adquirir más allá del alcance. Vincule la disponibilidad de herramientas a la tarea actual en lugar de conceder el conjunto completo por defecto.
Imponga la minimización en la frontera. Coloque una capa de política entre el agente y sus fuentes de datos, capaz de denegar o restringir una solicitud cuyo alcance exceda la tarea, en vez de confiar en la contención del modelo.
Minimice la retención de lo adquirido. Elimine los campos sensibles del contexto, los registros y las trazas en cuanto dejen de ser necesarios, para que la sobrerrecopilación no se convierta silenciosamente en una exposición duradera.
Pruebe con benchmarks conscientes de la adquisición. Adopte evaluaciones que separen lo que el agente dice de lo que recopila; los dos modos de fallo requieren correcciones distintas y solo uno aparece en la transcripción.
Estado
| Aspecto | Detalle |
|---|---|
| Fuente | PrivacyPeek (arXiv:2606.00152), publicado en junio de 2026 |
| Clase | Fuga en la fase de adquisición — sobrerrecopilación de datos sensibles en el contexto del agente |
| Método | Doble evaluación: Acquisition Inspection (auditoría de trayectoria de herramientas) + Probe Elicitation |
| Alcance | 1.182 casos, 7 comportamientos de adquisición, 16 dominios de aplicación |
| Probado | 10 agentes LLM de 4 familias de modelos |
| Hallazgo | La adquisición innecesaria de información sensible está generalizada |
| Naturaleza | Benchmark de investigación / medición — sin CVE, no es un exploit activo |