sistema: OPERATIVO
← volver a todos los hacks
RESEARCH MEDIUM NEW

Por qué un único interruptor de rechazo no distingue a un pentester de un atacante

Un artículo de julio de 2026 muestra que el rechazo de seguridad de un LLM no es un interruptor único, sino un subespacio repartido entre capas: ciego al dominio, propenso a bloquear el trabajo de seguridad legítimo y separable en los modelos de pesos abiertos.

2026-07-17 // 6 min affects: kimi-k2, open-weight-llms, qwen, deepseek, llama

¿Qué es esto?

Un artículo publicado en arXiv a principios de julio de 2026, «Not All Refusals Are Equal: How Safety Alignment Fails Cybersecurity at Scale», plantea un punto relevante para cualquiera que realice trabajo de seguridad autorizado con modelos de lenguaje: el comportamiento de rechazo entrenado en los modelos alineados distingue mal los dominios y distingue mal la intención benigna de la maliciosa. Una petición para explicar una corrupción de memoria y así corregirla, y una petición para explotarla, se parecen a ojos del mecanismo que decide si rechazar. El resultado es un sistema que rechaza en exceso preguntas legítimas de ciberseguridad y que, en los modelos de pesos abiertos, expone un mecanismo de rechazo que puede aislarse de forma selectiva.

Tratamos esto como una lectura de investigación y defensa, no como una receta. El artículo publica un análisis de cómo se representa el rechazo; no hace falta reproducirlo para entender la lección. El valor está en lo que dice sobre tratar el rechazo integrado de un modelo como si fuera una frontera de seguridad.

Cómo funciona

Trabajos previos de interpretabilidad establecieron que la tendencia de un modelo a rechazar queda capturada en gran medida por una «dirección de rechazo» de baja dimensión en su espacio de activaciones. Este artículo sostiene que el panorama es más distribuido que un único vector: en un estudio de 24 modelos de código abierto, el rechazo ocupa un subespacio multidimensional y —sobre todo en modelos de mezcla de expertos muy grandes, como un Kimi K2 de un billón de parámetros— ese subespacio está repartido ampliamente entre capas en lugar de concentrado en un solo lugar.

Suposición común: rechazo = 1 dirección, 1 lugar   -> un "interruptor de seguridad"
Realidad observada: rechazo = un subespacio, N capas -> distribuido, entrelazado
Consecuencia:       el concepto "ciber-dañino" no está limpiamente aislado
                    de "ciber-legítimo" -> el mismo circuito se activa para ambos

Como el concepto está entrelazado y es ciego al dominio, se siguen dos cosas. Primero, la misma circuitería que bloquea peticiones realmente peligrosas también se activa ante peticiones legítimas cercanas: el exceso de rechazo que frustra a los defensores. Segundo, sobre pesos abiertos donde todos los parámetros están expuestos, una representación de rechazo distribuida sigue siendo algo que los investigadores pueden caracterizar y manipular, lo que significa que un alineamiento aplicado únicamente mediante el rechazo no es un control duradero sobre un modelo que se ha entregado a un tercero.

Por qué importa

Para los equipos azules y los ingenieros de seguridad, el coste inmediato es el exceso de rechazo. Un modelo que se niega a razonar sobre la mecánica de un exploit, el comportamiento de un malware o el análisis de registros «por si acaso» es peor que inútil durante un incidente: empuja a los profesionales hacia herramientas no alineadas. El artículo lo enmarca como un defecto de diseño: el alineamiento trata «la ciberseguridad» como un peligro monolítico, cuando la mayor parte del trabajo es defensivo y autorizado.

Para quien despliega o depende de modelos de pesos abiertos, la segunda lección es más contundente. Si el rechazo es lo único que separa los pesos de una salida dañina, ese control viaja con los pesos y puede erosionarse. Una seguridad que vive por completo dentro del modelo no es una frontera que se pueda hacer cumplir una vez que el modelo escapa a tu control. Es la misma conclusión a la que ha llegado la comunidad sobre los jailbreaks y la manipulación de direcciones de rechazo, ahora medida a escala de un billón de parámetros.

Defensas

No trates el rechazo del modelo como una frontera de control de acceso. El rechazo es un valor por defecto útil, no una garantía; haz cumplir lo que un modelo tiene permitido hacer con controles externos —permisos de herramientas, aislamiento (sandbox), filtrado de salidas y aprobación humana en acciones de consecuencia— en lugar de confiar en que el modelo se vigile a sí mismo.

Diseña explícitamente para el trabajo de seguridad autorizado. Los equipos que necesiten modelos para tareas defensivas deberían preferir modelos y prompts de sistema que gestionen el contexto y la autorización, para que el análisis legítimo no se rechace en bloque. Distingue «quién pregunta y bajo qué autorización» de «este tema es sensible».

Añade capas de defensa alrededor de los despliegues de pesos abiertos. Si ejecutas pesos abiertos, asume que el rechazo integrado puede degradarse y añade clasificadores de entrada/salida independientes, monitorización y controles de tasa que operes tú, para que una sola copia manipulada no se convierta en una capacidad sin vigilancia.

Mide el exceso de rechazo, no solo la falta de rechazo. Evalúa los modelos por los falsos rechazos de consultas de seguridad legítimas además de por los bloqueos exitosos de las dañinas; una barrera ajustada solo contra los bypass romperá en silencio los flujos de trabajo de los defensores.

Rastrea la procedencia de los pesos. Trata como no fiables los pesos de fuentes no verificadas; prefiere distribuciones firmadas y verificadas por suma de comprobación, así como los canales de los proveedores, porque un modelo cuyo comportamiento de seguridad ha sido alterado parece idéntico desde fuera.

Estado

ElementoDetalle
DivulgaciónArtículo de investigación, arXiv, principios de julio de 2026; sin CVE
AlcanceAnálisis sobre 24 modelos de código abierto; ejemplo MoE de un billón de parámetros
Hallazgo centralEl rechazo es un subespacio multidimensional, repartido entre capas; ciego al dominio
Impacto prácticoExceso de rechazo del trabajo de seguridad legítimo; el rechazo no es un control duradero en pesos abiertos
Clase afectadaLLM de pesos abiertos alineados en general
Postura de mitigaciónEnforcement externo, filtrado en capas, evaluación del exceso de rechazo, procedencia de los pesos

Sources