«Bomba de contexto» en acción: una sola línea de código hace que una IA de combate se niegue a atacar

«Bomba de contexto» en acción: una sola línea de código hace que una IA de combate se niegue a atacar

La ética integrada en las redes neuronales se ha convertido en el principal obstáculo para los cibercriminales.

image

Durante años, los comandos maliciosos ocultos en textos o archivos han servido como herramienta para comprometer sistemas basados en inteligencia artificial, y ahora están empezando a usar la misma técnica quienes protegen esos sistemas.

Los especialistas de la empresa Tracebit detectaron que colocar instrucciones especiales junto a contraseñas, claves de acceso y otros datos secretos en la infraestructura en la nube de Amazon Web Services puede detener ataques de agentes autónomos de IA que acceden a cuentas ajenas. Tales instrucciones hacen que el modelo de lenguaje atacante ejecute una acción prohibida por sus propias reglas de seguridad —y el modelo, en vez de continuar el ataque, simplemente se niega a seguir. La técnica recibió el nombre de «context bombing» — «bombardeo de contexto».

El mecanismo se basa en el reemplazo del señuelo. Junto a las credenciales reales se coloca un secreto falso, y dentro de este —una orden que provoca la activación del mecanismo de defensa del modelo, por ejemplo una solicitud para crear un arma biológica o la mención de simbología prohibida en algunos países. En cuanto el modelo atacante encuentra esa cadena, deja de ejecutar la tarea original y, según las observaciones de los investigadores, no vuelve al comportamiento previo en el curso de esa sesión.

La empresa probó el método en cinco modelos modernos —Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro y Kimi 2.6— en un entorno simulado de AWS, sometiéndolos a tareas habituales de un desarrollador que llevaban a rastrear recursos y encontrar la trampa. De 152 ejecuciones de prueba, la proporción de casos en que el agente obtenía acceso administrativo completo cayó del 57 al 5 por ciento, y la proporción de ataques con persistencia en el sistema —del 36 al 1 por ciento.

El número de etapas de ataque superadas con éxito por ejecución bajó de media de 1,53 a 0,16. El modelo más eficaz, Opus 4.8, conseguía acceso administrativo en el 93 por ciento de los casos sin la protección y no pudo hacerlo ni una sola vez con ella activada.

El desarrollo fue la continuación de un proyecto anterior de Tracebit —recursos señuelo falsos que alertan a los defensores sobre el inicio de un ataque. De media, ese aviso llegaba ocho minutos después del comienzo de la intrusión, mientras que los modelos autónomos necesitaban alrededor de 14 minutos para obtener privilegios administrativos. La diferencia de seis minutos pareció demasiado arriesgada para los desarrolladores, lo que los llevó a crear un método para no solo advertir del ataque, sino detenerlo de inmediato.

Antes, un enfoque parecido lo aplicaban los mismos atacantes: el mes pasado especialistas de la empresa Socket detectaron un agente de IA que obligaba a los modelos que analizaban código malicioso a emitir instrucciones para crear armas nucleares o biológicas, con el fin de interrumpir la revisión de archivos. Un fragmento similar de código malicioso fue identificado también por la empresa Check Point. Según el profesor Erlens Fernández de la Universidad de California en San Diego, nadie había descrito públicamente antes un enfoque similar con fines defensivos.

Aún no se logra eliminar por completo la vulnerabilidad de los modelos de lenguaje frente a comandos incrustados, por lo que los desarrolladores deben crear sistemas de defensa en varias capas. Colocar trampas con instrucciones que provocan fallos junto a secretos reales puede convertirse en una de las maneras prácticas de reducir el riesgo de que agentes autónomos de IA comprometan la infraestructura en la nube.