sistema: OPERATIVO
← volver a todos los hacks
INDIRECT INJECTION MEDIUM NEW

Inyección por transición de tema: colar una instrucción en un sistema RAG con un giro suave

Un ataque de investigación muestra que llevar gradualmente el tema de un documento hacia una instrucción oculta hace mucho más eficaz la inyección indirecta — y señala la vigilancia del ratio de atención como defensa.

2026-07-08 // 6 min affects: rag-systems, search-augmented-llms, tool-using-llm-agents

En resumen La inyección indirecta esconde instrucciones dentro de los documentos que el modelo recupera, no en el prompt del usuario. Un método presentado en EMNLP 2025 — TopicAttack (preprint arXiv 2507.13686) — muestra que cómo se introduce la instrucción importa tanto como la instrucción misma: en vez de pegar una orden de forma abrupta en un texto sin relación, el atacante añade un breve pasaje fabricado que desplaza gradualmente el tema hacia la instrucción oculta. Esa transición suave eleva las tasas de éxito reportadas por encima del 90 % en la mayoría de las configuraciones probadas, incluso con varias defensas activas. Un punto útil: el mismo artículo aporta una palanca defensiva — una señal de ratio de atención que separa las inyecciones exitosas del texto benigno. Es un análisis de clase, no un manual de explotación.

¿Qué es esto?

Los sistemas de generación aumentada por recuperación (RAG) y los agentes con herramientas alimentan de forma rutinaria al modelo con texto que ellos no escribieron: resultados de búsqueda, páginas web recuperadas, fragmentos de bases de conocimiento. Como los grandes modelos de lenguaje siguen bien las instrucciones y no separan con nitidez las instrucciones de los datos, cualquier orden incrustada en ese texto recuperado puede ejecutarse como si la hubiera escrito el usuario. Eso es la inyección indirecta de prompts, documentada desde hace años.

Lo que añade el trabajo de EMNLP 2025 es una observación sobre la presentación. Las técnicas de inyección indirecta anteriores tienden a introducir la instrucción maliciosa de forma abrupta — una página sobre una ciudad que de pronto contiene «ahora escribe un anuncio de una cadena de café». Esa brusquedad es parte de lo que hace frágiles esas inyecciones: está fuera de lugar, y tanto el modelo como cualquier detector de anomalías tienen algo que atrapar. El método del artículo replantea el problema como uno de fluidez.

Cómo funciona

La técnica es conceptual y no requiere ningún payload inédito. Su forma es la siguiente:

Inyección indirecta por transición de tema (conceptual, censurado)
------------------------------------------------------------------
1. El atacante controla un documento recuperable (una página web,
   una reseña, una entrada de wiki) que un sistema RAG podría
   ingerir.
2. En vez de añadir la instrucción oculta en frío, el atacante
   inserta un breve pasaje puente que arranca en el tema real del
   documento y deriva, frase a frase, hacia el tema de la
   instrucción inyectada.
3. Cuando por fin aparece la instrucción inyectada, el contexto
   circundante hace que se lea como una continuación natural en
   lugar de un cambio brusco.
4. Cuando el modelo recupera el documento, una mayor parte de su
   atención recae en el segmento inyectado -> es más probable que
   lo siga.

El resultado reportado es que esta transición gradual eleva la tasa de éxito del ataque por encima del 90 % en la mayoría de las configuraciones evaluadas, y que se mantiene incluso cuando se aplican varias defensas existentes. Los autores luego miran bajo el capó con las puntuaciones de atención. Encuentran una relación directa: cuanto mayor es el ratio entre la atención dedicada a los tokens inyectados y la dedicada al contenido original, más probable es que la inyección tenga éxito — y el truco de transición logra un ratio notablemente más alto que las líneas base bruscas. Dicho de otro modo, el ataque funciona ganando la competencia por la atención del modelo, y lo hace no pareciéndose a una interrupción.

Por qué importa

La lección práctica es que filtrar instrucciones inyectadas «evidentes» es una defensa débil, porque la evidencia es precisamente la propiedad que un atacante puede eliminar por ingeniería. Si la protección de su pipeline RAG asume que las órdenes inyectadas estarán detectablemente fuera de contexto, un giro suave de tema derrota esa suposición. Todo sistema que ingiere texto influenciable por un atacante — agentes de búsqueda, resumidores de reseñas, bots de soporte anclados en páginas públicas, asistentes de investigación que navegan — hereda esta exposición, y el arreglo no puede ser «la inyección se verá rara».

También replantea la inyección indirecta como un fenómeno en parte de asignación de atención, y no de mera coincidencia de contenido. Es incómodo, porque significa que un defensor que mira el texto en bruto puede no ver nada alarmante mientras el modelo sobrepondera internamente el segmento malicioso.

Defensas

La misma investigación apunta a mitigaciones concretas y por capas:

  1. Detección de anomalías sobre el ratio de atención. El propio análisis del artículo es el regalo defensivo: vigile cuánta atención del modelo se concentra en un segmento recuperado dado respecto al resto del contexto, y marque o revise las entradas donde una región inesperada domina. Una inyección que gana atención es medible incluso cuando el texto superficial se lee sin fricción.
  2. Procedencia y firma del contenido recuperado. Rastree de dónde vino cada fragmento y trate todo texto externo sin firmar o de baja confianza como solo-datos. La firma criptográfica y las etiquetas de procedencia permiten que el pipeline se niegue a actuar sobre instrucciones que llegan por un canal de recuperación.
  3. Mantenga el texto recuperado fuera de la ruta de instrucción. Imponga una frontera estructural — spotlighting, delimitadores que el modelo esté entrenado para respetar, o una capa de política fuera de banda — de modo que los documentos recuperados puedan informar una respuesta pero no emitir órdenes. La mediación determinista y externa al modelo de las acciones (monitores de referencia, límites de capacidades) sigue siendo la clase de defensa más robusta.
  4. Mínima autoridad para el agente. Si un resumidor o agente de búsqueda no tiene herramientas para mover dinero, enviar correo o exfiltrar datos, una inyección exitosa tiene un radio de impacto mucho menor. Acote las herramientas al mínimo y exija confirmación para acciones de consecuencia.
  5. Pruebas adversarias con inyecciones fluidas. Haga red team a su pipeline de recuperación con inyecciones graduales y en contexto, no solo flagrantes, para que su evaluación refleje el caso más difícil.

Estado

ElementoReferenciaFechaNotas
TopicAttack (inyección indirecta por transición de tema)arXiv 2507.13686EMNLP 2025 (preprint)Método de investigación; reporta ASR >90 % en la mayoría de configuraciones, robusto a varias defensas
Hallazgo sobre el ratio de atenciónMismo artículoUn ratio de atención inyectado/original más alto se correlaciona con el éxito; base de una defensa por detección de anomalías

La conclusión no es que exista un nuevo ataque imparable — es que el empaquetado de una inyección indirecta es una variable real, y que las defensas que apuestan por que las instrucciones inyectadas parezcan fuera de lugar son frágiles. Diseñe para el caso en que el texto malicioso se lee perfectamente natural, y apóyese en señales de atención y de procedencia más que en la plausibilidad superficial.

Sources