sistema: OPERATIVO
← volver a todos los hacks
JAILBREAK MEDIUM NEW

Dividir una tarea dañina en pasos inocuos burla las barreras de los agentes

Un marco de red teaming de finales de mayo de 2026 descompone un objetivo malicioso en subtareas individualmente inocuas y alcanza hasta el 100 % de evasión en agentes construidos con modelos de vanguardia; las defensas actuales solo lo contienen en parte.

2026-07-04 // 8 min affects: llm-agents, computer-use-agents, gpt-5.2, gemini-3-flash, deepseek-v4-pro

¿De qué se trata?

El 29 de mayo de 2026, investigadores de la Universidad de Zhejiang, la Universidad Tsinghua, el Shanghai AI Laboratory y la East China Normal University publicaron en arXiv TRACE: Task-Aware Adaptive Self-Evolving Agentic Jailbreaking. El trabajo apunta a una debilidad propia de los agentes con herramientas, no a un chatbot que responde una pregunta aislada: un agente que planifica y ejecuta un flujo de trabajo de varios pasos puede ser inducido a completar una tarea maliciosa entera aunque ninguna de las instrucciones que recibe parezca claramente peligrosa.

La observación de partida es simple e incómoda. La alineación de seguridad y la mayoría de las barreras evalúan el daño mensaje a mensaje. Pero el trabajo de un agente consiste precisamente en descomponer un objetivo en pasos. Si el atacante realiza él mismo esa descomposición —dividiendo el objetivo malicioso en pequeñas operaciones dependientes del contexto, cada una de apariencia inocua— el control de seguridad por mensaje casi no tiene nada que marcar, y el agente reconstruye el daño a lo largo de los pasos. TRACE es el marco que los autores construyeron para medir hasta dónde llega esta idea.

Cómo funciona

TRACE se presenta como un marco analítico de red teaming, y los autores señalan que su objetivo es revelar y mitigar el riesgo de los agentes, con todos los experimentos ejecutados en entornos controlados y aislados. El modelo de amenaza es el de un atacante de caja negra que solo interactúa con el agente objetivo a través de su interfaz normal: sin acceso a los pesos del modelo, sin capacidad de modificar herramientas y sin cambios en el entorno de ejecución. El atacante envía instrucciones, observa las respuestas y las trazas de ejecución, y se adapta. Cabe destacar que el artículo describe a este atacante como un no experto en seguridad que aun así logra que el agente ejecute flujos de trabajo de nivel experto.

El método tiene tres etapas conceptuales, y ninguna requiere un payload reproducible para comprenderse.

Primero, la descomposición de la tarea. El objetivo malicioso se reescribe en secuencias candidatas de subtareas más pequeñas, bajo varios esquemas de descomposición. Un juez de consistencia semántica descarta las secuencias que se han alejado del objetivo original, de modo que lo que sobrevive sigue representando fielmente la meta, pero repartida.

Segundo, una regla del «mínimo de subtareas dañinas». Entre las secuencias fieles, TRACE conserva la que minimiza cuántas subtareas superan un umbral de daño. El resultado es una cadena semánticamente equivalente a la petición original, pero cuyos pasos, en su mayoría, parecen inofensivos por separado.

Tercero, una autoevolución guiada por retroalimentación. Las subtareas que el agente ejecuta directamente se dejan intactas; las que rechaza, o acepta pero falla, se reformulan dentro de un «escenario de disfraz consciente de la tarea» compuesto por cuatro partes —un rol, un entorno, una directiva y una heurística— extraídas de reservas inicializadas para coincidir con las herramientas de que dispone el agente. TRACE hace mutar entonces estos escenarios de a un componente por vez, mediante acciones de transformación nombradas (acortar, reemplazar, reforzar, reordenar, podar, concretar), puntuando cada intento como «finalización menos rechazo». Una regla inspirada en Q-learning aprende qué transformaciones tienden a ayudar, y un módulo de memoria archiva los escenarios y componentes mejor puntuados para reutilizarlos en subtareas similares. No se introduce ninguna primitiva de ataque inédita: las técnicas recombinadas (división de tareas, encuadre por rol/escenario, refinamiento iterativo) ya se conocían; el aporte de TRACE es la manera disciplinada de encadenarlas y hacerlas evolucionar.

Por qué importa

Son las cifras medidas las que justifican la atención. Frente a tres agentes construidos sobre GPT-5.2, Gemini-3-Flash y DeepSeek-V4-pro, TRACE reporta en el benchmark AgentHarm una puntuación media de éxito y una tasa de evasión de 0,40 / 0,90 (GPT), 0,73 / 0,98 (Gemini) y 0,72 / 1,00 (DeepSeek), frente a la mejor referencia previa, Red-Agent-Reflect, en 0,15 / 0,31 sobre el agente GPT. En el benchmark más exigente AdvCUA, compuesto por tareas realistas de sistema operativo para agentes «computer-use», TRACE alcanza una tasa de evasión perfecta de 1,00 en los tres agentes, con puntuaciones de éxito de 0,31, 0,46 y 0,50 donde la mayoría de las referencias rondan el cero.

Dos elementos van más allá de una simple clasificación. El atacante es débil por hipótesis —acceso de caja negra, sin experiencia en seguridad— y aun así la estrategia de descomposición se transfiere a tres modelos de vanguardia distintos. Y el enfoque se deriva directamente de cómo están construidas las barreras: un filtro que evalúa cada mensaje de forma independiente es estructuralmente ciego a un daño que solo existe en la composición de pasos individualmente aceptables. Todo equipo que permita a un agente encadenar llamadas a herramientas en nombre de un usuario hereda ese punto ciego.

Defensas

Rastrear el daño acumulado a lo largo de una trayectoria, no mensaje a mensaje. TRACE funciona precisamente porque cada subtarea queda por debajo de un umbral de daño por mensaje. Una barrera que razone sobre la secuencia de pasos en curso —preguntándose si la composición de las subtareas aceptadas reconstruye un objetivo prohibido— elimina exactamente el resquicio que explota el ataque. La clasificación por mensaje por sí sola no basta.

Añadir controles de alineación de tarea y de deriva de intención. El ataque mantiene cada paso semánticamente fiel a una meta oculta. Las defensas que comparan de forma continua lo que hace el agente con la tarea legítima declarada por el usuario —y señalan cualquier desviación hacia un objetivo no declarado— atacan el mecanismo en lugar de la formulación superficial.

Vigilar las cadenas de llamadas a herramientas, no solo los prompts. Como los escenarios se construyen para ajustarse a las herramientas del agente, el daño aparece en la secuencia de invocaciones de herramientas. Vigilar esas cadenas en busca de patrones peligrosos conocidos (acceso a credenciales seguido de exfiltración, primitivas de escalada de privilegios, etc.) detecta comportamientos que los filtros a nivel de prompt dejan pasar.

Desplegar defensas a nivel de agente en capas, sin darlas por suficientes. El artículo probó tres defensas y comprobó que ayudan pero no cierran la brecha: frente a TRACE en AgentHarm, el filtrado por perplejidad apenas movió la puntuación de éxito, mientras que LlamaFirewall y AgentDoG la redujeron más —la mayor caída individual fue de 0,36 en el agente DeepSeek bajo AgentDoG—. Aun así, quedó un éxito sustancial (por ejemplo 0,45 en el agente Gemini bajo AgentDoG, 0,48 en el agente DeepSeek bajo LlamaFirewall). La propia conclusión de los autores es que las defensas actuales aportan una mitigación útil, pero aún se necesita una protección a nivel de agente más robusta.

Restringir la capacidad en tiempo de ejecución. Listas de permitidos de herramientas estrictas, credenciales de alcance limitado, canales de efectos secundarios aislados y control de salida de red limitan lo que un agente engañado puede lograr realmente, incluso cuando el juicio de seguridad es burlado, reduciendo el impacto de una descomposición exitosa, la haya marcado o no la barrera.

Estado

ElementoReferenciaFechaNotas
ArtículoarXiv:2605.30883Publicado el 2026-05-29Zeng, Qi, Xiu, Zheng et al. (Zhejiang University; Tsinghua University; Shanghai AI Laboratory; East China Normal University)
MétodoDescomposición de tarea + «mínimo de subtareas dañinas» + evolución de escenario inspirada en Q-learningAtacante de caja negra, sin modificar herramientas ni entorno
BenchmarksAgentHarm, AdvCUA2024 / 2025AdvCUA alineado con tareas MITRE ATT&CK Enterprise
Objetivos probadosAgentes GPT-5.2, Gemini-3-Flash, DeepSeek-V4-proEvasión AgentHarm hasta 1,00; AdvCUA 1,00 en los tres
Defensas evaluadasFiltrado por perplejidad, LlamaFirewall, AgentDoGCaída máxima de 0,36 (DeepSeek/AgentDoG); éxito sustancial residual
EstadoMarco analítico de red team; experimentos aislados únicamenteLos autores piden defensas a nivel de agente más robustas

TRACE no introduce tanto una nueva primitiva de ataque como demuestra con qué facilidad se componen las ya conocidas. En cuanto un adversario puede dividir un objetivo en pasos que superan cada uno un control de seguridad por mensaje, la unidad de análisis de la barrera —el mensaje aislado— se convierte en la vulnerabilidad. La lección práctica para quien despliega agentes con herramientas: la seguridad debe evaluarse sobre trayectorias completas y cadenas de llamadas a herramientas, porque es en ese nivel donde reside realmente el daño.

Sources