Los agentes codifican su grafo de llamadas a herramientas: una nueva superficie de monitoreo
Un estudio de mayo de 2026 muestra que el flujo residual de un agente LLM codifica de forma lineal el grafo de dependencias entre sus llamadas a herramientas: una señal para detectar una ejecución secuestrada.
¿De qué se trata?
El 25 de mayo de 2026, Tianda Sun y Dimitar Kazakov (University of York) publicaron Tool-Call Dependency Structure is Linearly Decodable in LLM Agent Residual Streams en arXiv. El hallazgo es acotado pero contundente: cuando un agente con herramientas se ejecuta, la estructura de dependencia que enlaza sus llamadas a herramientas — qué salida de una llamada anterior alimenta el argumento de qué llamada posterior — queda inscrita en las activaciones internas del modelo, en una forma que una simple sonda lineal puede volver a leer.
Los autores usaron Qwen3-32B como política de un agente en la partición «retail» de τ-bench, un benchmark multiturno agente-herramienta, y entrenaron una sonda de regresión logística de baja capacidad sobre el flujo residual congelado. Recupera la arista de dependencia entre dos llamadas con un AUROC de 0,869, muy por encima de todos los controles probados. Según los autores, es la primera sonda estructural del grafo de dependencia de llamadas a herramientas en tiempo de ejecución, y no de código estático o texto de razonamiento.
Cómo funciona
Cada trayectoria del agente induce un grafo dirigido: existe una arista de la llamada i a la llamada j siempre que la salida de i proporcione un argumento a j. Los autores construyen ese grafo a partir de un oráculo independiente y luego comprueban si está presente en las activaciones.
Registran el flujo residual de las 65 capas de representación en cada frontera de decodificación y entrenan una sonda lineal regularizada con L2 sobre las activaciones promediadas en los tokens-frontera de ambas llamadas. La arista se vuelve linealmente decodificable hacia la capa 14. Tres controles hacen difícil descartar el resultado: un control Hewitt–Liang con etiquetas aleatorias (la sonda lo supera en +0,304 de AUROC), una base posicional mediante sondeo condicional para descartar el mero orden de las llamadas (superada en +0,0775) y un contrafactual que corrompe los valores de identificador frente a perturbar la estructura — la sonda sigue la topología abstracta, no los identificadores concretos. Un parcheo de activaciones capa por capa desplaza la lectura de una sonda posterior no parcheada, indicio de que la representación se propaga por la red en lugar de leerse pasivamente. La señal no posicional se repite en otros tres benchmarks de múltiples saltos y desaparece en la planificación de un solo paso, donde el orden de las llamadas ya predice la dependencia.
Un punto clave: los autores precisan que sus afirmaciones se refieren a la representación, no al control del comportamiento — el parcheo movió la lectura de la sonda, pero no la elección de herramienta que el agente realmente ejecutó.
Por qué importa
El secuestro del flujo de control mediante herramientas — una inyección indirecta que redirige qué herramientas llama el agente y cómo se encadenan sus salidas — figura entre las amenazas dominantes de los agentes. Hasta ahora, la defensa observaba sobre todo el exterior del agente: los tokens emitidos, las llamadas que realmente se dispararon, el texto de la traza de razonamiento. Este trabajo sugiere que la estructura de llamadas pretendida también es legible desde dentro, en un subespacio lineal, antes e independientemente de la salida de superficie.
Es una nueva superficie de monitoreo. Complementa las defensas basadas en activaciones — detección de deriva de tarea, sondas por paso sobre si se necesita una herramienta o cuál — pero apunta a lo que aquellas no cubren: la estructura relacional entre llamadas. Si un operador puede reconstruir el grafo de dependencia que el modelo «pretende» seguir y compararlo con lo ejecutado, una discrepancia se vuelve una señal candidata de plan reescrito.
Las reservas importan tanto como el resultado. Es un hallazgo de decodificabilidad sobre un dominio principal y dos familias de modelos, no un detector desplegado, y la representación no es el comportamiento. Es un cimiento para la defensa, no una defensa.
Defensas
Para los equipos que operan agentes autoalojados de caja blanca, las conclusiones prácticas tratan de dónde invertir, no de una herramienta lista para usar.
- Tratar las activaciones internas como superficie de observabilidad, no solo la salida. El grafo de llamadas pretendido parece linealmente accesible; una sonda sobre el flujo residual es un lugar plausible para vigilar una estructura de ejecución secuestrada.
- Combinarlo con las defensas existentes basadas en activaciones. Una el sondeo del grafo de llamadas con la detección de deriva de tarea y las sondas por paso — cubren modos de fallo complementarios.
- No confundir una sonda con un control. Decodificar el grafo pretendido dice lo que el modelo representa, no lo que hará. Todo detector necesita sus propios umbrales, un presupuesto de falsos positivos y evaluación adversaria antes de bloquear nada.
- Recordar la frontera de despliegue. Esto requiere acceso a las activaciones internas: solo disponible para despliegues autoalojados o del propio proveedor — inaccesible para quienes solo consumen la API.
- Mantener la aplicación fuera del modelo. Las señales internas sirven para el diagnóstico; la autoridad de permitir o denegar una llamada a herramienta debe residir en una política determinista, fuera del modelo, y no en una sonda que lee la mente del agente.
Status
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Primera sonda estructural del grafo de llamadas de un agente en ejecución | arXiv 2605.25310 (Sun y Kazakov, University of York) | 2026-05-25 | Qwen3-32B en τ-bench; AUROC de arista 0,869; afirmación limitada a la representación |
| Línea convergente: llamadas a herramientas legibles y dirigibles linealmente | arXiv 2605.07990 | 2026 | Lee/dirige la herramienta elegida; señal por paso complementaria |
En una frase: el grafo de dependencia de las llamadas a herramientas de un agente queda inscrito en sus activaciones de forma linealmente legible — prometedor como señal de monitoreo de una ejecución secuestrada, pero es un hallazgo de representación, no un detector terminado, y nunca un sustituto de la autorización fuera del modelo.