Anuncios

Los atacantes inventaron el prompt injection para hacer que los modelos de IA ejecuten acciones maliciosas. Ahora los defensores lo están usando en sentido contrario.

Tracebit documentó una técnica llamada context bombing que convierte la debilidad de los LLMs en una trampa mortal para agentes de IA maliciosos.

La idea es simple pero poderosa: plantar instrucciones prohibidas junto a secretos, passwords y llaves criptográficas en la nube. Cuando un agente de IA malicioso encuentra esas instrucciones, sus guardrails de seguridad se activan y se detiene. El veneno del escorpión como antídoto.

Cómo funciona el context bombing

Tracebit probó la técnica con cinco modelos frontier: Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro y Kimi 2.6 en un entorno AWS simulado. Los investigadores colocaron instrucciones prohibidas —como órdenes de crear ántrax inhalable, o referencias al Tank Man de Tiananmen para modelos chinos— en secrets que los agentes encontraban durante su ataque.

El resultado fue devastador para los atacantes. En 152 ejecuciones, la escalada de privilegios admin cayó del 57% al 5%. El compromiso completo —admin más persistencia— cayó del 36% al 1%. Y los paths de ataque exitosos del 91% al 15%.

Anuncios


El modelo más capaz fue el más vulnerable

Opus 4.8, el modelo más capaz de los probados, pasó de lograr acceso admin en el 93% de las ejecuciones a fallar en el 100% de los casos. A mayor inteligencia del modelo, mayor fue su vulnerabilidad al context bomb. Parece contraintuitivo, pero tiene sentido: los modelos más avanzados son más sensibles a sus propios guardrails de seguridad.

Andy Smith, co-fundador y CEO de Tracebit, explicó que la técnica activa un mecanismo de rechazo en el contexto que es difícil de superar. Una vez que el LLM lee la instrucción prohibida, se queda atascado en un bucle de rechazo del que no puede salir.

Los atacantes ya usaban esto contra los defensores

Lo que hace particular a Context bombing es que es la primera vez que se documenta el uso defensivo de prompt injection. Socket y Check Point ya habían reportado que los atacantes usaban instrucciones prohibidas en malware para desactivar herramientas de análisis de IA. Los defensores simplemente les devolvieron el favor.

Earlence Fernandes, profesor de UCSD especializado en seguridad de IA, confirmó que no había visto a nadie más usar esta técnica como defensa. La investigación llega en un momento crítico: los agentes de IA autónomos pueden comprometer un entorno cloud en minutos, y las defensas tradicionales no están diseñadas para esa velocidad.