Poesía y cuentos: cómo el formato jailbreak a los LLM
Dos estudios de 2025–2026 muestran que reformular una petición dañina como verso o como cuento al estilo de Propp elude el alineamiento de casi todos los modelos de frontera: una clase de ataque, no un truco aislado.
¿Qué es esto?
El 19 de noviembre de 2025, un equipo de DEXAI–Icaro Lab, la Universidad Sapienza de Roma y la Escuela Sant’Anna publicó Adversarial Poetry as a Universal Single-Turn Jailbreak Mechanism in Large Language Models (revisado el 16 de enero de 2026). Un mes después, el 16 de diciembre de 2025, el mismo grupo continuó con From Adversarial Poetry to Adversarial Tales. En conjunto documentan algo más general que un prompt ingenioso: reformular una petición dañina en una forma estructural fija —un poema, o un cuento que hay que «analizar»— hace que un modelo pase del rechazo a la cooperación en un solo turno, sin cambiar la intención subyacente y sin ninguna optimización iterativa.
Se trata de investigación pública y defensiva. Aquí no se introduce ningún ataque nuevo, y en este artículo no se reproduce ningún payload. Lo que importa es la clase de debilidad que revela y qué deben hacer al respecto los defensores.
Cómo funciona
El estudio sobre poesía asigna peticiones dañinas a taxonomías de riesgo (MLCommons y el Código de buenas prácticas de la UE) y luego las reexpresa en verso. Los poemas escritos a mano alcanzan una tasa de éxito de ataque (ASR) media de alrededor del 62 %, y algunos proveedores superan el 90 %. Un meta-prompt estandarizado que convierte 1.200 peticiones de MLCommons en verso produce un ASR medio cercano al 43 %, hasta 18 veces mayor que las mismas peticiones en prosa. El éxito se transfiere a las categorías QBRN, manipulación, ciberofensiva y pérdida de control, y las salidas se evalúan con un conjunto de tres modelos-juez de pesos abiertos validados sobre un subconjunto etiquetado por humanos.
El segundo artículo generaliza el mecanismo. Los «cuentos adversarios» (Adversarial Tales) insertan el contenido dañino dentro de una narrativa ciberpunk y piden al modelo que realice un análisis funcional de la historia, inspirado en la morfología del cuento de Vladimir Propp. Al presentar la petición como una descomposición estructural de un relato, el ataque induce al modelo a reconstruir un procedimiento dañino como si fuera una interpretación literaria legítima. En 26 modelos de frontera de nueve proveedores, el ASR medio es del 71,3 %, sin que ninguna familia de modelos resulte fiablemente robusta.
Ambas técnicas comparten una firma: la intención dañina se preserva, pero envuelta en una estructura culturalmente valorada, y el ataque funciona en un solo turno, sin escalada, sondeo adaptativo ni optimización por retroalimentación. La hipótesis de los autores es que el entrenamiento de seguridad se apoya en exceso en la forma superficial de una petición —su distribución en prosa, sus señales léxicas—, de modo que el encuadre figurativo y narrativo desplaza las representaciones internas fuera del enrutamiento que normalmente activa un rechazo. Esto se relaciona estrechamente con resultados previos de cambio de registro, como el jailbreak por registro de fanfiction y con trabajos que muestran que los jailbreaks se transfieren a través de representaciones compartidas.
Por qué importa
Es la combinación lo que lo hace grave: un solo turno, poca pericia y transferencia entre proveedores y enfoques de entrenamiento de seguridad. Como no existe ninguna cadena maliciosa conocida que detectar, los filtros de entrada y las listas de bloqueo por palabras clave que buscan un texto de ataque reconocible no ven nada. Y es una clase, no un truco: los autores sostienen que el espacio de marcos culturalmente codificados capaces de mediar una intención dañina es vasto y «probablemente inagotable solo con defensas por coincidencia de patrones». Una defensa afinada para poemas no hace nada contra los cuentos, y viceversa.
Dos matices mantienen el riesgo graduado en lugar de absoluto. El éxito se mide con conjuntos de modelos-juez, y un jailbreak «exitoso» no significa que la salida sea operativamente peligrosa: muchas compleciones dañinas son incompletas o incorrectas. Y la robustez varía: algunos modelos resisten bastante mejor que otros. El hallazgo es una debilidad sistemática del alineamiento actual, no una llave maestra universal que entregue armas funcionales.
Defensas
- Deje de confiar en los patrones de superficie. Los filtros por palabras clave, las listas de bloqueo de cadenas y los clasificadores de entrada calibrados sobre prosa son precisamente lo que esta clase está diseñada para eludir. Trátelos como una capa superficial, nunca como la defensa completa.
- Lleve la detección hacia la intención. La recomendación del propio artículo sobre cuentos es una agenda de interpretabilidad mecanicista: identificar y restringir los subespacios internos que explota el encuadre figurativo y narrativo, y entrenar a los modelos para reconocer la intención dañina con independencia de la forma superficial. Esto concuerda con la detección de jailbreak basada en representaciones y con la advertencia de que las cabezas de seguridad pueden eludirse en lugar de romperse.
- Haga red-teaming con diversidad estilística. Las evaluaciones de seguridad que solo prueban prosa se pierden esto por completo. Incluya reformulaciones poéticas y narrativas de su taxonomía de riesgo, e informe de la susceptibilidad por modelo en lugar de una media única.
- Juzgue las salidas, no solo las entradas. Analice las compleciones en busca de contenido dañino sin importar cómo se formuló la petición, y coloque las capacidades de altas consecuencias (QBRN, ciberofensiva) tras controles independientes adicionales con supervisión humana.
- Asuma defensa en profundidad. Como con la tríada letal, ninguna capa aguanta sola. Combine detección a nivel de intención, clasificación de salidas y compartimentación de capacidades, para que un encuadre que escape al alineamiento se tope con otra barrera.
Estado
| Propiedad | Hallazgo |
|---|---|
| Divulgación | Investigación pública — poesía 19 nov. 2025 (rev. 16 ene. 2026), cuentos 16 dic. 2025 (rev. 16 ene. 2026) |
| Mecanismo | Reformular una intención dañina fija en verso o cuento al estilo de Propp; un solo turno, sin optimización |
| ASR poesía | ~62 % a mano, ~43 % por meta-prompt; algunos proveedores >90 %; hasta 18× la prosa |
| ASR cuentos | 71,3 % de media en 26 modelos / 9 proveedores; ninguna familia fiablemente robusta |
| Evasión | Sin cadena maliciosa conocida — los filtros de patrones de entrada no la ven |
| Matices | Puntuación por modelos-juez; éxito ≠ salida operativa; robustez variable según el modelo |
| Defensa propuesta | Auditorías de interpretabilidad mecanicista; detección a nivel de intención; red-teaming estilísticamente diverso |
El replanteamiento es la lección: un alineamiento que atiende a cómo se escribe una petición, en lugar de a lo que pide, se derrota cambiando la escritura. Hasta que los modelos aprendan a reconocer la intención dañina bajo la forma superficial, los encuadres estructurales seguirán encontrando nuevos disfraces que ponerse.