sistema: OPERATIVO
← volver a todos los hacks
RESEARCH LOW NEW

Eludida, no rota: cómo los jailbreaks silencian unas pocas cabezas de atención de seguridad

Un artículo de finales de junio de 2026 muestra que los jailbreaks no borran las características de seguridad de un modelo: silencian unas pocas cabezas de atención de las primeras capas, mientras que las de capas intermedias siguen señalando el contenido dañino, una señal robusta que los defensores pueden leer gratis.

2026-07-01 // 7 min affects: llama-3, llama-3-70b

¿De qué se trata?

Se suele suponer que un jailbreak exitoso elimina el comportamiento de seguridad de un modelo: que, una vez que el prompt funciona, el modelo ha «olvidado» que la petición era dañina. Un estudio mecanicista publicado en arXiv a finales de junio de 2026, Robust Harmful Features Under Jailbreak Attacks: Mechanistic Evidence from Attention Head Specialization in Large Language Models (arXiv 2606.28153), sostiene lo contrario. Los ataques no eliminan de forma global las características de seguridad: suprimen selectivamente un pequeño conjunto de cabezas de atención concretas, mientras otras cabezas siguen codificando el significado dañino de la petición aun cuando el jailbreak tiene éxito.

La idea central del artículo se resume en una fórmula: la alineación de seguridad es eludida en lugar de rota, y la señal que sobrevive es directamente aprovechable para la defensa.

Cómo funciona

Partiendo de que el rechazo, en los modelos alineados, está mediado por una única dirección en el espacio de activaciones, los autores rastrean esa «dirección de rechazo» de las capas intermedias hacia atrás, a través del circuito de salida de cada cabeza de atención, para medir cuánto contribuye cada cabeza a la decisión de rechazo. Al comparar las activaciones ante entradas benignas, entradas dañinas simples y entradas de jailbreak exitosas, identifican dos tipos de cabezas funcionalmente distintos:

Tipo de cabeza                    Ubicación    Bajo un ataque exitoso
--------------------------------  -----------  ----------------------------------
Adversarially Compromised Heads   capas        Se activan con prompts dañinos
(ACHs)                            tempranas    simples, pero quedan
                                              fuertemente SUPRIMIDAS
Safety-Aligned Heads              capas        Siguen activándose con prompts
(SAHs)                            intermedias  dañinos Y atacados

Los experimentos de ablación establecen los roles causales. Eliminar un pequeño número de ACH basta para llevar a un modelo que normalmente rechaza hacia un comportamiento de tipo jailbreak, lo que confirma que la supresión de ACH es una vía suficiente para eludir el rechazo. Eliminar las SAH, en cambio, debilita drásticamente las activaciones de seguridad de las capas intermedias, señalando a las SAH como la fuente de lo que los autores denominan Robust Harmful Features: representaciones internas persistentes de la intención dañina que el ataque no logra borrar. La atribución a nivel de token muestra que la supresión de las ACH la provocan específicamente los tokens de la plantilla del ataque (el texto envolvente del jailbreak), mientras que las cabezas intermedias responden de forma robusta a todo el prompt.

Como esa señal dañina sobrevive, los autores construyen un detector sin entrenamiento que se limita a leer las activaciones persistentes —sin fine-tuning, sin un modelo juez auxiliar— y reportan un rendimiento de detección competitivo frente a clasificadores de seguridad dedicados, incluso en condiciones adversas. La evidencia se centra en la familia Llama-3, con una comprobación de escalado en un modelo de 70 000 millones de parámetros.

Por qué importa

Esto redefine qué es realmente un jailbreak. Si un ataque se limita a enmascarar la decisión de rechazo en unas pocas cabezas de las primeras capas, en lugar de destruir la comprensión del modelo de que una petición es dañina, entonces los defensores no parten de cero una vez que el jailbreak pasa: la semántica dañina sigue ahí, una capa más abajo, y es observable. El trabajo se inscribe en una línea que muestra que la seguridad de los modelos actuales está concentrada de forma desigual: investigaciones previas demostraron que la ablación de un puñado de «cabezas de seguridad» puede eliminar el rechazo (arXiv 2410.13708, ICLR 2025), y trabajos posteriores defendieron repartir la alineación entre muchas más cabezas en lugar de dejarla frágil (arXiv 2508.19697, agosto de 2025).

La salvedad honesta: se trata de investigación en interpretabilidad sobre modelos de pesos abiertos, donde las activaciones son directamente legibles. Nada de esto se ejecuta contra una API cerrada a la que solo se llega por la red, y un detector que lee estados internos complementa —no sustituye— los controles de entrada y salida.

Defensas

Para los equipos que alojan por sí mismos modelos de pesos abiertos, las conclusiones prácticas son concretas:

  1. Lea el flujo residual que ya produce. La persistencia de las activaciones de seguridad de las capas intermedias implica que una sonda basada en activaciones puede señalar peticiones dañinas incluso cuando un jailbreak superficial tiene éxito. Aliméntela primero en el registro y la limitación de tasa antes de conectarla a un bloqueo estricto, como en la detección de jailbreak basada en activaciones.
  2. Trate la concentración como una vulnerabilidad. Si unas pocas cabezas de las primeras capas cargan con la decisión de rechazo, son un punto único de fallo. Prefiera métodos de alineación que distribuyan el comportamiento de seguridad entre muchas cabezas, y compruebe cuánto rechazo sobrevive cuando se perturban pequeños subconjuntos de cabezas.
  3. Mantenga las defensas a nivel de texto. Son los tokens de la plantilla de ataque los que suprimen las cabezas vulnerables, así que la higiene de entradas y una jerarquía de instrucciones reducen la superficie que llega al modelo.
  4. Recalibre tras cada cambio de pesos. Que una cabeza sea ACH o SAH es específico de cada modelo; un fine-tuning, un adaptador LoRA o una cuantización puede desplazar la señal, así que reajuste cualquier sonda cuando cambie los pesos.
  5. Usuarios de modelos cerrados: conviértalo en una petición al proveedor. No puede instrumentar el interior de una API; presione a los proveedores para que expongan telemetría de señales de seguridad y, mientras tanto, apóyese en los controles de salida.

Estado

ElementoReferenciaFechaNotas
Robust Harmful Features / especialización ACH–SAHarXiv 2606.281532026-06Ablar ~8 cabezas tempranas invierte el rechazo; las cabezas intermedias siguen robustas; detector sin entrenamiento
Seguridad concentrada en pocas cabezasarXiv 2410.13708 (ICLR 2025)2024-10Atribución Ships/Sahara de cabezas críticas para la seguridad
Distribuir la seguridad en más cabezasarXiv 2508.196972025-08Defiende repartir una alineación de otro modo frágil

El cambio es de encuadre: un jailbreak parece total desde fuera, pero dentro del modelo la señal dañina sigue presente. En sistemas de pesos abiertos, los defensores pueden leerla, y esa persistencia es en sí misma un activo defensivo.

Sources