sistema: OPERATIVO
← volver a todos los hacks
DEFENSE LOW NEW

Probar qué agente produjo un registro, cuando el revendedor es quien lo posee

TRACE, publicado el 9 de julio de 2026, marca la propia trayectoria del agente y sobrevive a un revendedor capaz de borrar y reescribir el registro del que depende la prueba de origen.

2026-07-16 // 7 min affects: llm-agents, tool-using-agents, agent-resellers, agent-provenance

¿Qué es esto?

TRACE es una marca de agua de procedencia para el registro de acciones de un agente LLM, publicada en arXiv el 9 de julio de 2026 por un equipo de la University of New South Wales, la Griffith University y el Data61 (CSIRO). Aborda un problema de gobernanza que se vuelve urgente a medida que los agentes llegan a los usuarios a través de intermediarios: cuando el comportamiento de un agente se disputa tras un incidente, la atribución recae en el registro de trayectoria — el historial de llamadas a herramientas, observaciones y acciones ejecutadas. Lo delicado es quién posee ese registro. Un revendedor que licencia el agente de un desarrollador, lo re-etiqueta con su marca o sustituye discretamente por un modelo más barato es la misma parte que almacena y edita el registro para facturar. Cualquier marca de agua leída directamente de ese registro puede ser eliminada por la parte a la que se audita. TRACE es, según sus autores, la primera marca de agua de agentes diseñada para sobrevivir a un adversario con acceso completo de lectura y escritura a la propia evidencia.

Cómo funciona

La idea central es que una marca de agua única, con una sola forma de clave, siempre cae ante uno de los dos movimientos de lavado del revendedor; por eso TRACE lleva dos señales complementarias sobre la misma trayectoria. Un revendedor que quiere reducir y depurar un registro borra pasos, lo que desincroniza cualquier clave derivada de la posición. Un revendedor que quiere re-etiquetarlo reescribe observaciones y renombra herramientas, lo que altera cualquier clave derivada del contenido. Ninguna clave única resiste ambos.

TRACE superpone dos canales. El canal de selección modula qué acción elige el agente entre las opciones admisibles del entorno, mediante un muestreador sin distorsión con clave sobre el contenido previo; los autores demuestran que la distribución de acciones resultante es idéntica a la del agente sin marca, y como la clave es el contenido local, un borrado solo daña una clave vecina y la detección se resincroniza en la siguiente decisión. El canal de recuento modula cuántos registros contiene cada grupo de decisiones, con clave únicamente sobre el esqueleto estructural del registro — una magnitud que la reescritura no puede tocar, lo que hace a ese canal invariante frente a la paráfrasis o el renombrado, por agresivos que sean. El artículo muestra que la señal detectable se paga con entropía de decisión (cada decisión paga al menos la mitad de su entropía, las decisiones deterministas no pagan nada) y que borrar ambos canales a la vez obliga al revendedor a modificar el esqueleto y corromper una fracción de las trayectorias que se le paga por entregar. Describimos el mecanismo a nivel conceptual; las pruebas formales y las estadísticas del detector están en el artículo.

Por qué importa

La procedencia es el primer paso de la rendición de cuentas, y los agentes cada vez más actúan en lugar de solo escribir: abren tickets, envían mensajes, ejecutan código, conducen respuestas a incidentes. Cuando una de esas acciones causa daño, un operador debe demostrar qué acciones registradas realizó y cuáles no su agente, y una plataforma que audita el tráfico de un socio debe establecer si una trayectoria dada proviene realmente del agente que se afirma. Las propuestas de gobernanza que exigen identificadores de agentes y registros de actividad presuponen que esos registros pueden atribuirse. TRACE aborda el caso que las marcas de agua de agentes existentes dejan abierto: no un atacante externo que perturba un registro, sino el intermediario que lo posee y lo edita legítimamente. La firma de registros prueba la integridad de un registro en el que ya se confía, pero un revendedor que retransmite una trayectoria re-etiquetada simplemente descarta la firma de origen; una marca de agua de comportamiento, en cambio, sigue hablando cuando quien posee el registro es el adversario.

Defensas

Para los equipos que construyen o compran agentes, las conclusiones son arquitectónicas más que un control único.

  • Tratar el registro de trayectoria como la unidad de atribución, no el flujo de tokens. Los registros de acciones estructurados descartan los tokens muestreados sobre los que viajaría una marca de agua de texto; la procedencia de los agentes debe residir en la secuencia de decisiones y acciones.
  • Incluir al poseedor del registro en su modelo de amenazas. Si un revendedor, una pasarela o un integrador aguas abajo puede facturar su agente, puede editar la evidencia. Un esquema de atribución que un socio puede eliminar en silencio no ofrece garantía alguna en una disputa contractual.
  • Superponer señales de procedencia; no depender de una sola. La marca de agua de comportamiento se suma al registro autenticado, la atestación y los entornos de ejecución de confianza. Los registros firmados prueban la inviolabilidad de los registros que usted controla; una marca de agua de comportamiento sin distorsión añade una señal que sobrevive al borrado y la reescritura por un poseedor no confiable.
  • Presupuestar la marca de agua frente al éxito de la tarea. Como la señal cuesta entropía, un agente de baja entropía y pocas decisiones ramificadas lleva poca; mida la detectabilidad en sus propias cargas antes de suponer que un esquema atribuye de forma fiable en trayectorias cortas.
  • Escribir las expectativas de atribución en los acuerdos de reventa. Cuando un agente se revende o se comercializa con marca blanca, especifique quién puede editar los registros, qué procedencia debe preservarse y cómo se verificarán las afirmaciones de sustitución de modelo.

Estado

ElementoValor
TipoInvestigación defensiva — marca de agua de procedencia para trayectorias de agentes
Modelo de amenazaRevendedor con acceso completo de lectura/escritura al registro (re-etiquetado, sustitución de modelo)
MétodoDos canales: marca de selección sin distorsión con clave en el contenido + marca de recuento con clave en la posición
Evaluado enToolBench y ALFWorld
Resultados reportadosIguala la tasa de éxito sin marca; detección del canal de selección cercana a z≈100 en trayectorias largas; detectable con 70 % de borrado de pasos; canal de recuento sin cambios bajo reescritura por LLM
Publicado9 de julio de 2026 (arXiv:2607.08400)
EstadoPreprint académico; no es un producto ni una vulnerabilidad

Fechas clave: 9 de julio de 2026 — publicación del preprint TRACE (arXiv:2607.08400). Se enmarca en una línea de 2026 de marcas de agua de comportamiento de agentes (Agent Guide, AgentMark, AgentWM, ActHook) y en trabajos relacionados sobre marcas de agua de trayectorias de agentes (arXiv:2602.18700). Las afiliaciones de los autores y los resultados son los indicados en el preprint.

Sources