TRACE: detectar el envenenamiento de corpus RAG siguiendo la influencia de los tokens
Un artículo de junio de 2026 detecta documentos envenenados en un corpus RAG rastreando qué tokens recuperados dictaron la respuesta — sin clasificador adicional ni un segundo LLM, y de paso revela la respuesta objetivo del atacante.
¿Qué es esto?
TRACE es un método de detección ligero contra los ataques de envenenamiento de corpus dirigidos a sistemas de generación aumentada por recuperación (RAG). Se presenta en el artículo «Tracing Target Answers in Poisoned Retrieval Corpora via Token Influence Attribution» (arXiv:2606.25721, cs.CR), publicado a finales de junio de 2026. La idea es defensiva y forense: en lugar de identificar un documento envenenado por cómo se lee, TRACE lo identifica por cuánto influyó en la respuesta que produjo el modelo.
El envenenamiento de corpus agrupa los ataques en los que un adversario introduce documentos manipulados en la base de conocimiento que consulta un RAG, de modo que, cuando una víctima formula una pregunta concreta, el pasaje envenenado se recupera y orienta la respuesta generada hacia una salida elegida por el atacante. Es una de las amenazas RAG más persistentes, porque el texto malicioso puede parecer perfectamente normal tanto para un revisor humano como para un filtro de perplejidad. TRACE se suma a una línea emergente de defensas por «atribución» — junto a AttnTrace y trabajos previos de trazabilidad como RAGForensics — que abordan la detección como una cuestión de procedencia más que de contenido.
Cómo funciona
La observación central es que, para tener éxito, un documento envenenado debe ejercer una influencia desproporcionada sobre los tokens que emite el modelo. TRACE hace medible esa influencia. Opera en dos etapas, íntegramente en tiempo de inferencia y sin tocar los pesos del modelo.
Primero, realiza una atribución de la influencia de los tokens: para una respuesta dada, estima cuánto contribuyó cada token recuperado a los tokens de la respuesta y luego busca palabras clave recurrentes de alta influencia que aparecen en el conjunto recuperado con una influencia anormalmente alta. En un corpus limpio, la influencia tiende a ser difusa; un veneno dirigido la concentra en el breve fragmento de texto que porta la carga del atacante.
Después, una pasada de verificación confirma si esos tokens de alta influencia impulsan realmente la predicción del modelo, en lugar de ser coincidentes. Solo los tokens que superan esta segunda comprobación se consideran evidencia de envenenamiento.
Dos propiedades lo hacen atractivo en producción. No requiere un clasificador auxiliar ni un segundo LLM actuando como juez, con lo que evita el sobrecoste de cómputo y la superficie de ataque que esos enfoques conllevan. Y como el método se centra en los tokens que producen la respuesta, hace emerger la respuesta objetivo del atacante como subproducto: uno aprende no solo que el corpus fue envenenado, sino qué pretendía hacer decir el veneno al sistema. Los autores reportan una detección sólida en tres bancos de pruebas de preguntas y respuestas y seis LLM distintos.
Por qué importa
El RAG es hoy la forma por defecto de conectar datos privados a un LLM en las empresas, lo que convierte al corpus de recuperación en una superficie de ataque de primer orden. Cualquiera que pueda escribir en una fuente indexada — una wiki, un sistema de tickets, una unidad compartida, una página web rastreada — es un envenenador potencial, y la recompensa es alta: manipulación discreta y dirigida de las respuestas para consultas concretas, mientras todo lo demás se comporta con normalidad.
La mayoría de las defensas desplegadas actúan en la etapa de recuperación (filtrando o reordenando documentos antes de la generación) o se apoyan en un modelo aparte que examina las entradas. Ayudan, pero añaden latencia y coste, y no ven los venenos diseñados para parecer benignos hasta la generación. Un método de detección que actúa en la etapa de la respuesta, lo bastante barato para ejecutarse en línea, y que además sirve como herramienta de respuesta a incidentes — indicando qué documento retirar y qué buscaba el atacante — cubre un hueco real. La misma señal de influencia que marca el ataque proporciona también el artefacto necesario para purgar el registro culpable y auditar su alcance.
Defensas
TRACE es en sí mismo una contribución defensiva, pero la lección práctica es integrar la atribución por capas en un pipeline RAG en vez de confiar en un único control.
- Atribuir las respuestas a sus fuentes. Por cada respuesta, rastree qué documentos recuperados y qué fragmentos impulsaron la salida. Es la capacidad que ofrecen TRACE, AttnTrace y las trazabilidades tipo RAGForensics, y es la que permite localizar y eliminar un registro envenenado a posteriori.
- Mantener el filtrado en la recuperación, pero no detenerse ahí. El filtrado de anomalías y perplejidad a nivel de fragmento aún atrapa los venenos torpes antes de la generación; combínelo con la atribución en la etapa de respuesta para atrapar los diseñados para superar la inspección de contenido.
- Puntuar la procedencia de las fuentes. Pondere los documentos según la fiabilidad de su origen y trate las fuentes editables y poco fiables (wikis públicas, contenido enviado por usuarios, páginas rastreadas) como de mayor riesgo durante la recuperación.
- Instrumentar para la respuesta, no solo para la prevención. Registre las atribuciones de influencia para que, ante una respuesta sospechosa, un analista pueda rastrearla, identificar la respuesta objetivo y limpiar el corpus — convirtiendo la detección en remediación.
- Reevaluar las defensas en un pipeline realista. Evalúe cualquier defensa RAG de extremo a extremo (fragmentación, recuperación, reordenamiento, generación), ya que tanto ataques como defensas se comportan de forma distinta con el pipeline completo en juego.
Estado
| Elemento | Referencia | Fecha | Nota |
|---|---|---|---|
| TRACE (este trabajo) | arXiv:2606.25721 | 2026-06 | Detección por influencia de tokens + recuperación de la respuesta objetivo; 3 bancos QA, 6 LLM |
| AttnTrace | arXiv:2508.03793 | 2025-08 | Atribución contextual por atención de inyección/corrupción |
| Needle-in-RAG | arXiv:2605.01782 | 2026-05 | Trazabilidad a nivel de carácter de fragmentos envenenados |
| RAGForensics / trazabilidad | arXiv:2504.21668 | 2025-04 | Atribuye las respuestas a los documentos recuperados |