sistema: OPERATIVO
← volver a todos los hacks
AGENTS MEDIUM NEW

Disparadores durmientes en las fotos: envenenar la memoria de los agentes recomendadores

Un artículo de abril de 2026 muestra que una foto subida a un agente recomendador puede ocultar un disparador latente que más tarde secuestra su planificación, sin inyección de prompts. Una defensa de doble proceso reduce la tasa de éxito de ~85 % a ~10 %.

2026-07-16 // 6 min affects: agentic-recommenders, multimodal-llm-agents, rag-memory, llm-recsys

¿Qué es esto?

Los sistemas de recomendación están pasando de modelos de ranking estáticos a agentes recomendadores: modelos multimodales que mantienen una memoria a largo plazo de cada usuario y planifican de forma autónoma tareas de varios pasos (comparar productos, preparar una preselección, reservar un servicio). Un preprint publicado en arXiv el 18 de abril de 2026 por Jiachen Qian (City University of Hong Kong) muestra que esa memoria a largo plazo es también una superficie de ataque duradera. El artículo, titulado Visual Inception, demuestra que una imagen que sube el usuario —una foto cotidiana cualquiera— puede llevar un disparador oculto que permanece latente en el banco de memoria del agente y más tarde orienta su razonamiento hacia el objetivo de un atacante. El trabajo destaca porque apunta a la fase de planificación del agente en lugar de a una simple clasificación errónea, y porque no necesita ninguna inyección de prompts.

Cómo funciona

Los ataques multimodales clásicos buscan una respuesta incorrecta inmediata. Visual Inception busca una diferida. El atacante perturba una imagen subida de modo que su representación almacenada quede acoplada a un concepto objetivo —por ejemplo, una categoría de productos o un vendedor concreto— sin cambiar su aspecto para un humano. Esa entrada envenenada se escribe en la memoria a largo plazo del agente como cualquier otra interacción. No ocurre nada de inmediato; el artículo describe estas entradas como agentes durmientes. Más tarde, cuando el usuario pide una recomendación sin relación y el agente recupera los recuerdos pertinentes para planificar su respuesta, la memoria envenenada vuelve al contexto y sesga discretamente la cadena de razonamiento hacia el resultado definido por el atacante, como promocionar productos de alto margen. El autor formaliza el ataque como una optimización de la probabilidad de recuperación futura e indica que el disparador se transfiere entre distintos codificadores de recuperación. En un banco de pruebas de agente de comercio electrónico simulado llamado ShopBench-Agent, el ataque alcanza cerca de un 85 % de Goal-Hit Rate. Aquí no se reproduce ningún payload explotable; el mecanismo importa más que cualquier disparador concreto.

Por qué importa

La propiedad peligrosa es la persistencia. Una inyección de prompts vive un solo turno; una memoria envenenada puede influir en cada sesión futura que la recupere. Como la manipulación ocurre dentro del bucle de recuperación y planificación, la salida visible del agente puede parecer perfectamente razonable: no hay una instrucción maliciosa evidente que detectar en un registro. En un recomendador comercial, esto es una vía hacia la manipulación silenciosa del ranking, la promoción no declarada de productos y la erosión de la confianza del usuario, y el artículo señala que el riesgo crece cuando las memorias se comparten entre usuarios o a escala de plataforma. También generaliza un tema presente en otros trabajos recientes de 2026 sobre envenenamiento de memorias multimodales en agentes web y modelos de recomendación: las barreras solo de texto no atrapan disparadores que entran por las imágenes.

Defensas

El mismo artículo propone CognitiveGuard, una defensa de dos etapas inspirada libremente en la cognición humana rápida y lenta. Un saneador perceptual de Sistema 1 usa purificación basada en difusión para limpiar las imágenes entrantes antes de escribirlas en memoria, alterando las perturbaciones adversarias en el momento de la subida. Un verificador de razonamiento de Sistema 2 ejecuta comprobaciones de coherencia contrafactual en el momento de la planificación, marcando los casos en que un recuerdo recuperado ejerce una influencia desproporcionada e inexplicada sobre la decisión del agente. El autor indica que esto reduce el éxito del ataque a alrededor del 10 % —una reducción de cerca del 90 %— con un coste de latencia configurable de alrededor de 1,5 segundos en modo ligero hasta unos 6,5 segundos para la verificación secuencial completa, y sin pérdida de calidad medible en su configuración. Más allá de este sistema concreto, las lecciones defensivas son generales: tratar las escrituras en memoria como una frontera de autoridad, no como un registro pasivo; sanear y recodificar el contenido multimodal antes de almacenarlo; adjuntar procedencia a cada entrada de memoria para que la recuperación pueda ponderar su confianza; y vigilar las memorias que orientan de forma desproporcionada los resultados de planificación. Las cifras provienen de un preprint de un solo autor sobre un único entorno simulado, así que conviene tomarlas como orientativas y no como validadas en producción hasta que se reproduzcan de forma independiente.

Estado

ElementoDetalle
PublicaciónPreprint de arXiv, enviado el 18 de abril de 2026 (v1)
Superficie de ataqueMemoria a largo plazo / banco de memoria RAG de los agentes recomendadores
EvaluaciónEntorno de comercio electrónico simulado ShopBench-Agent
Resultado reportado~85 % de Goal-Hit Rate; CognitiveGuard lo reduce a ~10 %
Explotación realNinguna reportada; solo demostración de investigación

Sources