Ataques de Inyección Camuflados en el Dominio Eluden Detectores en Sistemas LLM Multiagente

Un nuevo artículo de Aaditya Pai identifica un punto ciego crítico en los detectores de inyección de LLM: los ataques de inyección camuflados por dominio —payloads generados para imitar el vocabulario y las estructuras de autoridad del documento objetivo— evaden sistemáticamente la detección. Los detectores estándar señalan payloads estáticos con altas tasas, pero fallan contra los camuflados.

Hallazgos clave

• Tasa de detección en Llama 3.1 8B: cayó del 93,8% (estático) al 9,7% (camuflado).
• Tasa de detección en Gemini 2.0 Flash: cayó del 100% al 55,6%.
• Llama Guard 3, un clasificador de seguridad de producción, detectó cero payloads camuflados (IDR = 0.000).
La Brecha de Detección de Camuflaje (CDG) es estadísticamente significativa en 45 tareas y tres dominios (Llama: χ² = 38.03, p < 0.001; Gemini: χ² = 17.05, p < 0.001).

El debate multiagente amplifica los ataques

Las arquitecturas de debate multiagente amplifican los ataques de inyección estática hasta 9,9x en modelos más pequeños. Los modelos más fuertes muestran resistencia colectiva. La mejora del detector dirigida solo remedia parcialmente la brecha: mejora del 10,2% en Llama, 78,7% en Gemini, lo que indica que la vulnerabilidad es arquitectónica para modelos más débiles.

Framework publicado

Los autores publican su framework, banco de tareas y generador de payloads públicamente. El punto ciego se extiende más allá de los detectores de pocos ejemplos a los clasificadores de seguridad dedicados, lo que sugiere debilidades fundamentales en el enfoque actual.