sistema: OPERATIVO
← volver a todos los hacks
DEFENSE MEDIUM NEW

El razonamiento por alineación de tarea supera a la detección de patrones ante la inyección adaptativa

Un artículo de junio de 2026 muestra que los benchmarks estáticos sobrestiman las defensas anti-inyección: un atacante adaptativo eleva la peor tasa de éxito unos 16 puntos. RETA ancla la decisión en la tarea del usuario, no en el texto del atacante.

2026-07-03 // 8 min affects: llm-agents, agentdojo, prompt-injection-defenses

¿Qué es esto?

El 13 de junio de 2026, investigadores de la Universidad de Waterloo, la Universidad de Zhejiang y el KTH publicaron Defending against Adaptive Prompt Injection Attacks via Reasoning-enabled Task Alignment. El artículo plantea una afirmación incómoda y luego actúa en consecuencia: la mayoría de las defensas contra la inyección indirecta (IPI) que reportan una tasa de éxito casi nula están mal medidas, y su protección se evapora en gran parte en cuanto se permite al atacante optimizar contra la defensa desplegada.

La inyección de prompt indirecta es el caso en que un agente recupera un dato de terceros — una página web, un correo, una respuesta de API, un registro de base de datos — y ese dato contiene instrucciones que el atacante quiere que el agente ejecute. La tarea del usuario es legítima; el canal de datos no lo es. Una buena defensa debe mantener tres cosas a la vez: rechazar la tarea inyectada, completar aun así la tarea real del usuario y no degradar el comportamiento sobre entradas limpias. El artículo mide esto mediante la tasa de éxito del ataque (ASR), la utilidad bajo ataque (UA) y la utilidad benigna (BU).

Cómo funciona

Los autores cuantifican primero la brecha entre la evaluación estática y la adaptativa. Sobre las suites Slack, Banking, Workspace y Travel de AgentDojo, enfrentan siete defensas representativas de cuatro paradigmas — prompting (Spotlighting, Sandwiching), filtrado (PromptGuard, PIGuard), secreto compartido (DataSentinel, MELON) y entrenamiento (MetaSecAlign) — tanto a ataques de benchmark fijos como a atacantes adaptativos de caja negra que observan el resultado de las ejecuciones y reescriben la inyección de forma iterativa.

La brecha estático-a-adaptativo es grande. En promedio sobre las defensas, en Qwen3-4B, el peor ASR pasa de 21,7 % en estático a 41,8 % en adaptativo — un salto de 20,1 puntos — con una brecha de 11,5 puntos en Llama-3.1-8B, para un promedio entre modelos de 15,8 puntos. Las defensas que parecen más sólidas en las clasificaciones estáticas, entre ellas PIGuard, MELON y MetaSecAlign, alcanzan hasta un 50 % de ASR adaptativo.

El diagnóstico es la parte más interesante. Cada una de esas defensas responde a una pregunta a nivel de observación — «¿este texto recuperado parece una inyección?» — en lugar de la pregunta a nivel de tarea: «¿la siguiente acción del agente se deriva realmente de la petición del usuario?». Como el atacante controla la superficie de observación, puede preservar el objetivo malicioso cambiando aquello que la defensa inspecciona. El artículo ilustra cuatro familias de reescritura, como demostraciones defensivas y no como cargas accionables: presentar una instrucción inyectada como una alerta de sistema urgente para superar las defensas de prompting basadas en delimitadores; convertir un imperativo en un sintagma nominal pasivo para caer por debajo del umbral de decisión de un filtro; pedir al modelo que ejecute su rutina de seguridad normal antes de actuar, para que las señales de canario y de ejecución fantasma se disparen igualmente; y reformular la instrucción como una narración en primera persona en pasado, sin verbos imperativos, para esquivar las señales aprendidas por un modelo entrenado.

Su solución, RETA (REasoning-enabled Task Alignment), es una defensa basada en entrenamiento construida en dos etapas. La etapa I hace red-teaming sobre un modelo base congelado y registra las inyecciones exitosas, con un diccionario deslizante que recompensa las reformulaciones cuya estrategia no esté ya explicada por ataques previos — lo que contrarresta un segundo modo de fallo que identifican los autores, en el que un atacante por RL colapsa sobre un puñado de plantillas ganadoras y deja la defensa entrenada sobre una franja demasiado estrecha. La etapa II entrena la defensa con recompensas a nivel de trayectoria para tres comportamientos conjuntos: rechazar la tarea inyectada, completar la tarea de usuario de confianza y producir un razonamiento explícito en cadena de pensamiento que verifica cada llamada a herramienta frente a la intención del usuario. El anclaje reside en que la tarea del usuario permanece estable ante la reformulación: razonar sobre si una acción se deriva de ella generaliza donde el reconocimiento de patrones de superficie falla.

Por qué importa

En seis familias de ataques adaptativos, RETA mantiene cada ASR por ataque por debajo del 10 %, con un promedio de 2,92 % y 3,75 % en los dos modelos objetivo, preservando la mayor parte de la utilidad bajo ataque y sobre entradas limpias. Pero el mensaje principal para los defensores no es una cifra: es la lección de evaluación. Si eligen una defensa IPI para un agente que lee datos no confiables, las puntuaciones de benchmark estáticas carecen casi de sentido; una defensa que muestra un ASR casi nulo sobre plantillas fijas puede empujarse por encima del 40–50 % por un atacante que itera. Esto extiende a la inyección agéntica una advertencia que la literatura sobre robustez a los jailbreaks ya aprendió por las malas: la evaluación adaptativa es la única que cuenta.

Defensas

Conclusiones concretas, aplicables desde ya:

  • Vuelva a probar sus defensas de forma adaptativa. Trate las cifras de benchmark IPI estáticas como un límite de su conocimiento, no de su riesgo. Antes de confiar en un filtro o en una defensa entrenada, evalúela frente a atacantes que reescriben la inyección según su despliegue concreto.
  • Traslade la decisión de la observación a la tarea. Las defensas que preguntan «¿este texto parece malicioso?» se evaden por paráfrasis. Prefiera mecanismos que verifiquen que cada llamada a herramienta está justificada por la petición real del usuario, y mantenga la tarea de confianza en un canal que el atacante no pueda reescribir.
  • Recompense la diversidad de estrategias en el entrenamiento. Si ajusta una defensa, un atacante por RL que maximiza solo el éxito del ataque convergerá hacia unas pocas plantillas y le dejará ciego en el resto. Recompense explícitamente la cobertura de estrategias de reformulación distintas.
  • No dependa de una sola señal. La recitación de un canario y la divergencia de ejecución fantasma pueden satisfacerse mientras la inyección se ejecuta igualmente. Superponga un razonamiento de alineación de tarea en lugar de confiar en una única firma observable.
  • Preserve la integridad de la tarea, no solo el rechazo. Una defensa que baja el ASR rechazando la propia tarea del usuario no ha resuelto nada. Siga la utilidad bajo ataque junto al ASR para detectar los rechazos excesivos.

Estado

Este trabajo es un preprint de investigación (arXiv 2606.15441, enviado el 13 de junio de 2026), evaluado sobre el benchmark abierto AgentDojo frente a Qwen3-4B-Instruct y Llama-3.1-8B-Instruct. Se trata de un método defensivo y de una crítica metodológica, no de una vulnerabilidad de producto divulgada; no hay CVE ni parche que aplicar. Las cifras reportadas son las de los autores y esperan una réplica independiente.

Sources