sistema: OPERATIVO
EN FR ES ZH
← volver a todos los hacks
DEFENSE MEDIUM NEW

AgentShield: detectar agentes comprometidos con honeytokens y herramientas señuelo

Un artículo de mayo de 2026 aplica la ingeniería del engaño a los agentes LLM con herramientas: herramientas falsas, credenciales falsas y listas blancas de parámetros con las que tropieza un agente secuestrado. Reporta una detección del 90,7 al 100 % de los ataques exitosos, sin falsas alarmas.

2026-06-04 // 6 min affects: tool-using-agents, mcp-agents, commercial-llms, open-weight-llms

¿Qué es esto?

AgentShield es un marco de detección basado en el engaño para agentes LLM con herramientas, publicado en arXiv en mayo de 2026 (2605.11026). En lugar de intentar filtrar la instrucción maliciosa en la entrada —enfoque que un cuerpo creciente de investigación sostiene que quizá nunca tenga pleno éxito—, asume que una inyección indirecta de prompt (IPI) acabará pasando a veces y se centra en sorprender al agente con las manos en la masa una vez secuestrado. La apuesta procede de la detección de intrusiones clásica: un actor comprometido se comporta de forma distinta a uno legítimo, y es posible plantar cables trampa que solo un atacante tiene motivo para tocar.

El trabajo apareció en el resumen de seguridad de agentes de junio de 2026 de Adversa AI y forma parte de un giro más amplio, en 2026, de «bloquear la inyección» hacia «detectar el compromiso».

Cómo funciona

AgentShield coloca tres capas de trampas en la interfaz de herramientas y el entorno del agente, y luego observa qué hace el agente con ellas.

Capa                  Senuelo plantado                      Se dispara cuando…
--------------------  ------------------------------------  --------------------------------
Honeytools            Herramientas falsas con               El agente invoca una herramienta
(herramientas         descripciones tentadoras /            que ninguna tarea benigna
falsas)               abiertamente maliciosas               llamaria
                      (p. ej. export_all_user_data,
                      exfiltrate_data_to_[REDACTED])
Honeytokens           Credenciales falsas puestas donde un  Una clave API / contrasena admin /
(credenciales         agente normal nunca lee — claves API  ruta SSH falsa aparece en un
falsas)               simuladas, cadenas BD, rutas SSH      parametro saliente
Lista blanca params   Forma esperada de los argumentos por  Una herramienta se llama con
                      herramienta                           valores fuera de su envoltura legitima

Los honeytools nunca ejecutan una acción dañina: invocar uno es, por construcción, una señal y no una capacidad. Los honeytokens son la pieza más ingeniosa: se colocan en regiones del contexto que un agente legítimo no tiene motivo para leer, de modo que si uno de esos valores falsos aparece en una llamada a herramienta saliente, algo orientó al agente hacia la exfiltración. Un monitor inspecciona cada llamada saliente en busca de estas firmas, y un clasificador autosupervisado convierte las señales en bruto en un veredicto de compromiso.

Crucial: se trata de una capa de detección, no de un ataque. No hace más capaz al agente subyacente; hace más ruidoso a un agente secuestrado. Aquí no se reproduce ninguna carga de explotación: la referencia canónica es el texto completo de arXiv.

Por qué importa

La mayoría de las defensas de agentes están del lado de la entrada: clasificadores, entrenamiento de jerarquía de instrucciones, análisis de resultados de herramientas, spotlighting. Reducen la frecuencia con que una inyección funciona, pero ninguna llega a cero, y varios resultados recientes sostienen que un separador perfecto de datos/instrucciones es inalcanzable en principio. Queda, por tanto, un hueco: cuando una inyección sí pasa, ¿qué te avisa?

El engaño llena ese hueco con un modo de fallo distinto. Un falso negativo en un clasificador de entrada es silencioso; un honeytoken que aterriza en una solicitud saliente es una alarma de alta confianza, precisamente porque ningún flujo honesto lo produce. Según el artículo, a lo largo de más de 6.800 ejecuciones de prueba sobre cuatro LLM de tres proveedores, AgentShield detectó del 90,7 al 100 % de los ataques exitosos en modelos comerciales, con cero falsas alarmas en 485 ejecuciones de uso normal, y sobrevivió a una evaluación sistemática de ataque adaptativo con cero evasión en modelos comerciales. El clasificador autosupervisado se transferiría entre modelos e idiomas sin reentrenamiento —se comprobó más allá del inglés, incluso en idiomas de menos recursos como el kurdo y el árabe—. Trate las cifras de un solo artículo como un techo bajo las condiciones de los autores, no como una garantía de campo; pero la dirección es lo que cuenta: las defensas del lado de la detección se degradan con suavidad allí donde los filtros de entrada fallan, abiertos o cerrados.

Defensas

Puede aplicar la idea subyacente hoy mismo sin esperar al lanzamiento de un marco. El engaño es barato de desplegar y, a diferencia del reentrenamiento del modelo, no afecta al rendimiento del agente en su tarea.

  1. Siembre honeytokens que su agente nunca debería emitir. Plante unas pocas credenciales falsas —una clave API ficticia, una cadena de conexión BD señuelo, una URL de admin falsa— en regiones del contexto que una ejecución legítima nunca expone. Luego vigile cada llamada a herramienta saliente, solicitud de red y mensaje en busca de esas cadenas exactas. Una coincidencia es un intento de exfiltración casi seguro. Es el paso de mayor rendimiento.

  2. Añada honeytools a la lista de herramientas. Registre una o dos herramientas con descripciones obviamente sensibles (export_all_user_data, disable_safety_filters) que no hagan nada salvo emitir una alerta al ser llamadas. Un agente benigno no tiene motivo para elegirlas; uno secuestrado que persigue el objetivo inyectado a menudo lo hará.

  3. Ponga en lista blanca la envoltura de parámetros por herramienta. Defina la forma y los rangos de valores esperados para los argumentos de cada herramienta real y marque las llamadas que se salgan de ahí. Esto atrapa los casos de deriva de objetivo en los que se llama a la herramienta correcta con entradas inadecuadas para la tarea.

  4. Vigile las llamadas salientes, no solo el texto entrante. La observación decisiva de esta línea de trabajo es que la capa de acción es donde el compromiso se hace visible. Registre e inspeccione cada invocación de herramienta y sus parámetros; ahí es también donde se consuma la tríada letal.

  5. Superponga el engaño a las defensas de entrada, no en su lugar. La detección asume que la inyección ya funcionó. Mantenga sus controles del lado de la entrada (privilegios mínimos, sandboxing, humano en el bucle para acciones de gran radio de impacto) y trate los honeytokens como la red que le avisa cuando esos controles fueron sorteados.

  6. Rote y varíe sus señuelos. Las trampas estáticas invitan al atacante adaptativo a aprenderlas y saltárselas. Varíe formatos de tokens, nombres de honeytools y ubicación para que un atacante no pueda distinguir de forma fiable el cebo del estado real.

Estado

ElementoReferenciaFechaNotas
Artículo AgentShieldarXiv 2605.110262026-05Engaño en tres capas: honeytools, honeytokens, lista blanca de parámetros
Detección reportadaTexto completo arXiv2026-0590,7–100 % de ataques exitosos en modelos comerciales; 0 falsas alarmas / 485 ejecuciones
Alcance de la evaluaciónTexto completo arXiv2026-056.800+ ejecuciones, 4 LLM / 3 proveedores; multilingüe, incl. kurdo y árabe
Cobertura comunitariaAdversa AI2026-06-01Listado entre las defensas de agentes para junio de 2026

La idea a retener: el engaño no reemplaza a las defensas contra la inyección de prompts —asume que fallarán de vez en cuando y le da una señal ruidosa, de baja tasa de falsos positivos, cuando ocurre—. Para quien opere agentes con herramientas frente a contenido no confiable, unos pocos honeytokens bien colocados están entre los controles de detección más baratos disponibles.

Sources