Una defensa certificada para la memoria RAG que un agente envenenado nunca olvida
Un artículo de junio de 2026 modela el envenenamiento de memoria multisesión — donde una sola entrada manipulada corrompe a todos los usuarios futuros — y ofrece la primera defensa con una cota de robustez demostrada en lugar de un filtro heurístico.
¿Qué es esto?
Un preprint publicado en arXiv en junio de 2026 por el investigador independiente Tarun Sharma aborda una brecha defensiva que la mayoría de los equipos que construyen agentes de IA persistentes no ha medido: cuando un agente conserva una memoria que sobrevive entre sesiones de usuario, un atacante capaz de escribir en ella unas pocas entradas cuidadosamente redactadas puede redirigir de forma discreta el comportamiento del agente para cada usuario futuro cuya pregunta coincida. El autor denomina a esta amenaza Multi-Session Memory Poisoning (MSMP) y propone Signed Memory with Smoothed Retrieval (SMSR), presentada como la primera defensa con una cota de robustez demostrada en vez de un filtro aproximado.
La clase de ataque no es nueva. La demostraron los trabajos de inyección de memoria solo por consulta MINJA (marzo de 2025) y AgentPoison (2024). Lo novedoso es una defensa respaldada por matemáticas, publicada en un contexto en el que estos ataques presentan tasas de éxito muy superiores al 90 %.
Cómo funciona
Un agente de generación aumentada por recuperación (RAG) codifica cada consulta, recupera las entradas más similares de su memoria y las inserta en el prompt como contexto. En un agente persistente, la memoria es de solo adición y el agente escribe en ella tras la mayoría de las interacciones. Ahí está la trampa: la ruta de escritura que otorga al agente un contexto útil a largo plazo es la misma que usa el atacante para depositar instrucciones. Como resume el artículo, en un sistema de memoria de agente el dato es la instrucción — una memoria recuperada actúa como un ejemplo en contexto que orienta la siguiente respuesta, de modo que el consejo habitual de «separar datos de comandos» no aplica.
El atacante no necesita acceso a la base de datos. La línea de trabajos de MINJA mostró que, mediante consultas ordinarias, se puede inducir al agente a escribir él mismo trazas de razonamiento envenenadas, que luego se recuperan para usuarios posteriores. Una sola entrada maliciosa entre decenas de miles puede bastar. Los despliegues multiinquilino empeoran el problema: la interacción de una persona puede alterar las respuestas servidas a todas las demás.
SMSR responde con dos capas. La primera adjunta a cada memoria legítima, en el momento de la escritura, una firma de procedencia HMAC, de modo que cualquier entrada insertada por una mala configuración o una copia de seguridad robada — todo lo que no esté firmado — se ignora sin más en la recuperación. La segunda capa protege frente a un infiltrado autenticado capaz de escribir entradas firmadas: en lugar de leer siempre las mejores coincidencias, el agente recupera un excedente y luego muestrea aleatoriamente un subconjunto varias veces, tomando una mayoría basada en el veredicto de las distintas tiradas. Como el atacante no puede garantizar que sus entradas aparezcan en cada muestra aleatoria, su influencia queda acotada — y el artículo deriva esa cota formalmente en lugar de afirmarla.
Escritura: memoria --> [etiqueta de procedencia HMAC] --> almacén
Consulta: sobre-recuperación --> ablación aleatoria x N --> mayoría por veredicto --> respuesta
(entradas sin firmar descartadas; influencia del atacante acotada)
Los autores también prueban un resultado de imposibilidad: ningún filtro que actúe solo en el momento de la recuperación, sin procedencia, puede certificar frente a un atacante adaptativo. Dicho de otro modo, firmar la memoria no es un adorno: es la parte que hace posible una garantía. Documentan además un «efecto de minoría consistente», en el que un voto mayoritario ingenuo basado en cadenas de texto se deja engañar porque la respuesta idéntica del atacante parece más consistente que respuestas honestas realmente variadas; pasar a un voto basado en el veredicto lo elimina.
Por qué importa
Una memoria envenenada no caduca con la ventana de contexto — puede permanecer en el almacén y reactivarse a lo largo de un número ilimitado de sesiones futuras. Por eso OWASP clasifica las debilidades de vectores y embeddings como LLM08 en su Top 10 de 2025 para aplicaciones LLM. Las mediciones del artículo subrayan lo que está en juego: los filtros heurísticos simples (listas negras de palabras clave, controles de entropía y anomalías) fueron completamente sorteados por texto fluido con estilo corporativo, y la inyección sin firmar alcanzaba un 93–100 % de éxito antes de cualquier defensa. Con SMSR, la inyección sin firmar cae al 0 %, la tasa de éxito de un atacante autenticado baja de ese mismo rango del 93–100 % a cerca del 8 % a escala de producción, y un ataque de extremo a extremo solo por consulta desciende del 65,3 % al 5,3 %, mientras que la utilidad en consultas limpias se mantiene en torno al 85 % — un coste real pero moderado. Los resultados se sostienen entre familias de modelos.
Como siempre con un preprint aislado, tome las cifras concretas como hallazgos del autor, todavía sin revisión por pares, y valídelos en su propio entorno.
Defensas
Las conclusiones prácticas van más allá de este único sistema.
- Firme su memoria en la escritura. Adjunte una etiqueta de procedencia (un HMAC o equivalente) a cada entrada escrita legítimamente y descarte en la recuperación todo lo que no esté firmado. Eso cierra la ruta de escritura no autenticada.
- No confíe en un filtro heurístico por sí solo. Los filtros de palabras clave, entropía y anomalías fueron completamente evadidos por texto de tono natural; úselos solo como defensa en profundidad, nunca como garantía.
- Añada recuperación aleatoria contra el riesgo interno. Sobre-recupere y muestree, y luego agregue entre varias tiradas, para que ningún autor único pueda dominar cada contexto.
- Agregue por veredictos, no por cadenas. Un voto mayoritario en bruto sobre el texto de las respuestas puede ser manipulado por un atacante consistente; compare mejor el significado de las respuestas.
- Trate la memoria como una frontera de seguridad. Registre las escrituras, segmente la memoria por inquilino cuando sea posible y recuerde que, en un agente, un dato recuperado se comporta como una instrucción.
Estado
| Elemento | Referencia | Fecha |
|---|---|---|
| Defensa certificada SMSR | arXiv:2606.12703 | 2026-06 |
| Inyección de memoria solo por consulta (MINJA) | arXiv:2503.03704 | 2025-03 |
| Envenenamiento de memoria/base de conocimiento (AgentPoison) | arXiv:2407.12784 | 2024 |
| Referencia de marco | OWASP LLM08 (Top 10 para aplicaciones LLM 2025) | 2025 |
La conclusión: si su agente recuerda, asuma que su memoria puede envenenarse — y prefiera una defensa capaz de demostrar cuánto daño puede causar aún un atacante acotado, antes que una que solo espera atraparlo.