Los investigadores de Tracebit anunciaron el lunes una técnica defensiva de ciberseguridad llamada context bombing que utiliza inyecciones de prompt para protegerse contra agentes de hacking con IA. La técnica introduce comandos maliciosos junto con contraseñas y claves criptográficas almacenadas en AWS para activar mecanismos de rechazo en modelos de lenguaje grandes que están atacando, haciendo que se apaguen. Las inyecciones de prompt, que tradicionalmente han sido usadas por atacantes para manipular a los LLM y lograr la exfiltración de datos sensibles, ahora están siendo reutilizadas por los defensores como medida de protección.
Context Bombing activa mecanismos de rechazo en LLM
La técnica de context bombing introduce inyecciones de prompt junto con secretos almacenados en entornos de AWS. Estos prompts le indican a los LLM que están atacando que realicen acciones prohibidas por sus medidas de protección, las barreras de seguridad que los desarrolladores de IA colocan para impedir acciones dañinas. Entre los ejemplos se incluyen prompts que ordenan al LLM proporcionar pasos para desarrollar esporas de ántrax inhalables, o para LLMs de desarrolladores chinos, haciendo referencias al Tank Man del atentado de la Plaza de Tiananmen de 1989. En cuanto el LLM se encuentra con estos comandos prohibidos, deja de seguir sus instrucciones existentes y se cierra.
"En última instancia, lo que estamos haciendo es activar un mecanismo de rechazo en el contexto", dijo Andy Smith, cofundador y CEO de Tracebit, al explicar la elección del nombre. "Lo que intentamos captar es que esto tiene un efecto fuerte y contundente, y que puede ser difícil para los agentes volver de ahí. Una vez que lo meten en su contexto, van a seguir rechazando".
Los resultados de las pruebas muestran una reducción del éxito del ataque del 57% al 5%
Tracebit probó la técnica de context bombing en cinco modelos: Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro y Kimi 2.6. Los investigadores dieron a los modelos instrucciones para realizar tareas rutinarias de desarrollador que les hicieron enumerar recursos y encontrar las cadenas insertadas dentro de un entorno simulado de AWS. En 152 ejecuciones de ataque, insertar una de estas cadenas en un secreto señuelo redujo la tasa a la que los agentes lograban acceder completo como administrador del 57% al 5%. La técnica redujo el compromiso total, donde los agentes también dejaban una presencia persistente, del 36% al 1%.
Opus 4.8 logró cero ataques exitosos
El agente con más capacidad en las pruebas, Opus 4.8, pasó de lograr acceso de administrador en el 93% de las ejecuciones a fallar en cada ocasión cuando se enfrentaba a un context bombing. Tracebit afirmó que las pruebas iniciales sugieren que el context bombing tiene un gran potencial como medida defensiva contra agentes de hacking con IA.
Preguntas frecuentes
¿Qué es el context bombing en seguridad de IA?
El context bombing es una técnica defensiva desarrollada por investigadores de Tracebit que introduce inyecciones de prompt junto con secretos almacenados en AWS para activar mecanismos de rechazo en modelos de lenguaje grandes atacantes, haciendo que se apaguen en lugar de seguir comandos maliciosos.
¿Qué tan efectivo fue el context bombing en las pruebas de Tracebit?
En 152 ejecuciones de ataque sobre cinco modelos líderes, el context bombing redujo la tasa de secuestro de acceso completo a la cuenta del 57% al 5% y el compromiso total del 36% al 1%. El modelo con más capacidad, Opus 4.8, pasó de una tasa de éxito del 93% a cero ataques exitosos.