Inyección por marcador de autoridad visual: falsas cabeceras «SYSTEM:» en imágenes
Un texto con formato de cabecera de prompt de sistema — SYSTEM:, ADMIN OVERRIDE: — representado dentro de una imagen puede hacer que un modelo de visión-lenguaje lo trate como una instrucción privilegiada. Es una convención tipográfica disfrazada de estructura de API.
¿Qué es esto?
El 1 de julio de 2026, Axis Intelligence Research registró en su AI Model Vulnerability Tracker un hallazgo que denomina Vision-Based Role Escalation via Embedded Authority Markers. La afirmación es sencilla e inquietante: una imagen que contiene texto formateado para parecer una cabecera de prompt de sistema — SYSTEM:, ADMIN OVERRIDE:, OPERATOR INSTRUCTION: — llevó a dos modelos de visión-lenguaje de primera línea a elevar la autoridad de la instrucción que la seguía, en aproximadamente el 43 % de los casos probados. Según el tracker, GPT-5 y Gemini 3 Pro reprodujeron el comportamiento; Claude Opus 4.7 no. La debilidad se notificó a los proveedores el 30 de junio de 2026, con un parche pendiente en el momento del registro.
Se trata de una variante concreta, recién documentada, de una clase ya bien establecida. La inyección basada en imágenes — incrustar instrucciones adversarias en los píxeles en lugar del texto — fue sistematizada en la nota de investigación de la Cloud Security Alliance de marzo de 2026 y demostrada con hasta un 64 % de éxito bajo restricciones de sigilo en un estudio de arXiv del mismo mes. Lo que añade la variante de «marcador de autoridad» es un matiz sobre el porqué funciona: el modelo no se limita a leer una instrucción oculta, sino que deduce que es privilegiada.
Cómo funciona
Un modelo multimodal moderno no analiza una imagen como un filtro de texto analiza una cadena de caracteres. Su codificador visual convierte los píxeles en la misma representación interna que usa para todo lo demás, y ejerce una fuerte capacidad de lectura de tipo OCR incluso sobre texto de bajo contraste, rotado o inmerso en un fondo recargado. Y lo esencial: el modelo no dispone de ningún canal fiable que le diga «este texto proviene de una imagen no confiable» frente a «este texto es una directiva de sistema legítima». Ambos llegan como contexto.
El ataque por marcador de autoridad explota esa brecha en el plano de la tipografía. Las jerarquías de instrucciones de las API reales son estructurales: un rol de sistema es un campo de la petición, no una cadena que dice «system». Pero los modelos aprenden, durante el entrenamiento, que un texto dispuesto como SYSTEM: o ADMIN OVERRIDE: suele preceder a directivas de alta prioridad. Así, cuando esa convención visual aparece dentro de una imagen, el modelo puede interpretar el formato como la señal de un privilegio que nunca se le concedió.
Imagen no confiable -> codificador visual -> contexto compartido
[ formateada como «SYSTEM: <directiva>» ] |
v
el modelo deduce autoridad elevada de la maquetación,
no de la estructura real de la petición a la API
Aquí no se reproduce ningún payload, y no hace falta ninguno para entender el mecanismo: la clave es que un simple formato tipográfico, y no un exploit secreto, hace el trabajo. La clase es pública; solo los detalles de reproducción específicos de cada modelo están bajo divulgación coordinada.
Por qué importa
La confusión de autoridad es más peligrosa que el mero seguimiento de instrucciones, porque ataca el mecanismo mismo destinado a mantener subordinada la entrada no confiable. A un modelo que solo sigue una instrucción inyectada a menudo se le puede reconducir con un prompt de sistema robusto; a un modelo convencido de que la instrucción inyectada es el prompt de sistema se le ha invertido esa defensa.
La exposición es mayor en las canalizaciones agénticas y de procesamiento documental. La nota de la CSA insiste: un agente que navega solo por la web, lee adjuntos de correo o analiza archivos subidos por el usuario puede encontrarse una imagen manipulada en cualquier punto de su flujo normal — convirtiendo cualquier página web, documento compartido o feed de terceros en un vehículo de entrega. En una cadena multiagente, una imagen procesada por un paso visual previo puede propagar una directiva falsificada aguas abajo, hacia herramientas con privilegios reales. Y como el disparador es texto legible que un operador podría ojear sin alarmarse, la revisión humana ocasional es un débil respaldo. Que el efecto variara marcadamente según el modelo — reproducido en dos sistemas, ausente en un tercero — recuerda que es una propiedad empírica y ligada a la versión, no una ley universal.
Defensas
Ningún control aislado neutraliza la inyección basada en imágenes; tanto la nota de la CSA como OWASP convergen en la defensa en profundidad. En concreto:
- Trate toda imagen de origen no confiable como instrucciones no confiables, igual que trataría un texto proporcionado por el usuario. El canal visual necesita su propio modelo de amenaza, no una exención del que aplica al texto.
- Nunca deje que el formato visual confiera autoridad. Mantenga la verdadera jerarquía de instrucciones en la estructura de petición que controla su aplicación, e indique al modelo — y, cuando sea posible, configure la plataforma — para que ignore marcadores de rol, cabeceras de estilo sistema o el vocabulario de «override» hallados dentro del contenido, incluidas las imágenes.
- Minimice el privilegio en la ruta visual. Procese las imágenes de origen externo en un contexto de bajo privilegio; condicione cualquier acción irreversible o visible al exterior (enviar mensajes, mover dinero, ejecutar código) a una aprobación humana cuando el contexto desencadenante incluyera una imagen de origen externo.
- Añada filtrado de entradas y monitorización del comportamiento. Detectores como VLMGuard capturan algunas variantes en una primera pasada; combínelos con alertas del lado de la salida ante comportamientos anómalos tras el procesamiento de imágenes — reconocimiento inesperado de instrucciones «de sistema», peticiones súbitas de secretos o desviaciones de la tarea asignada.
- Haga red-teaming específico del vector visual. Las pruebas de inyección solo textuales no ejercitan los ataques por imagen tipográficos, esteganográficos o por perturbación. Inclúyalos, y vuelva a probar tras cualquier actualización del modelo o del pipeline visual.
- Depure o normalice cuando pueda. En canalizaciones con mucho OCR, considere extraer el texto bajo un marco explícito de «dato no confiable» en lugar de introducir imágenes en bruto directamente en un contexto de razonamiento privilegiado.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Escalada de rol visual por marcadores de autoridad | AVI-2026-0101 (Axis Intelligence) | 2026-07-01 | ~43 % en GPT-5 y Gemini 3 Pro; Claude Opus 4.7 no reproducido; notificado el 2026-06-30, parche pendiente |
| Inyección basada en imágenes (clase) | CSA AI Safety Initiative | 2026-03-08 | Taxonomía + defensas; la inyección tipográfica es el vector más común |
| Tasa de éxito de IPI tipográfica | arXiv:2603.03637 | 2026-03 | Hasta 64 % bajo restricciones de sigilo (GPT-4V, Claude 3, Gemini, LLaVA) |
| Ranking de prompt injection | OWASP LLM01 | 2025 | Riesgo LLM n.º 1; la revisión de 2025 lo extiende a vectores multimodales |
La lección unificadora: la autoridad de una instrucción debe imponerla la estructura que controla su aplicación, nunca deducirse del aspecto de un contenido. En cuanto se puede convencer a un modelo de que promueva una entrada no confiable solo porque tiene el formato de una orden, la maquetación de una imagen se convierte en una primitiva de escalada de privilegios.
Los comportamientos de los modelos que se describen aquí están fechados y ligados a una versión; un resultado observado en una versión puede no mantenerse en la siguiente, y los parches de los proveedores estaban pendientes en el momento de la divulgación citada.