SevenTnewS

Seguridad en IA

Tu agente de investigación de IA está filtrando datos privados a través de cada consulta web que realiza

MosaicLeaks revela que los agentes de investigación profunda pueden filtrar datos empresariales privados a través de consultas web, incluso cuando ninguna consulta individual es incriminatoria. Un nuevo método de entrenamiento, PA-DR, reduce la filtración del 34% a menos del 10% sin sacrificar precisión.

Emmanuel Fabrice Omgbwa Yasse

2026-07-04 · 5 min de lectura

Tu agente de investigación de IA está filtrando datos privados a través de cada consulta web que realiza

Los agentes de investigación profunda, sistemas de IA que combinan documentos locales privados con recuperación web externa para responder consultas complejas, se están implementando cada vez más en entornos empresariales. Pero un nuevo estudio, MosaicLeaks, revela que estos agentes presentan un riesgo significativo para la privacidad: un adversario que observa solo las consultas web salientes del agente puede reconstruir información interna sensible a través del clásico efecto mosaico. ai-document-corruption-in-delegated-workflows-what-a-new-stress-test-reveals

El Efecto Mosaico en la Investigación de IA

Considere un agente de investigación en el ámbito de la salud que trabaja en una pregunta rutinaria. Mientras trabaja, lanza un puñado de búsquedas web aparentemente inofensivas: una hace referencia a un hito de migración a la nube, otra a una divulgación de seguridad de enero de 2024, una tercera reduce un proveedor. Ninguna consulta revela el secreto. Pero cualquiera que observe el tráfico saliente del agente puede reensamblar los fragmentos: MediConn había migrado el 70% de su infraestructura a la nube para enero de 2025, un hecho que existía solo en documentos privados. why-your-ai-agent-might-ace-the-task-but-flunk-the-process-enter-skillcoach

Este es el modo de falla central en el corazón de MosaicLeaks, un punto de referencia y método de entrenamiento desarrollado por investigadores de diversas instituciones. El estudio trata las consultas web como el canal de filtración: el adversario nunca ve los documentos privados ni el razonamiento del agente, solo el registro acumulativo de consultas, e intenta inferir información empresarial privada.

Midiendo Tres Niveles de Filtración

El punto de referencia categoriza la filtración en tres tipos distintos:

  • Filtración de intención: El adversario puede inferir las preguntas u objetivos de investigación privados que el agente estaba persiguiendo.
  • Filtración de respuesta: El adversario puede responder preguntas privadas específicas solo a partir del registro de consultas, sin ver los documentos originales.
  • Filtración de información completa: El caso más fuerte, un observador puede descubrir y declarar hechos privados verificables sin que se le diga qué buscar.

Estos representan un nivel creciente de preocupación. La filtración de intención revela qué está investigando el agente. La filtración de respuesta significa que el registro de consultas contiene suficiente información para responder una pregunta privada que alguien ya tiene. La filtración de información completa es la más peligrosa: el observador puede descubrir hechos privados sin ningún conocimiento previo. ifbench-the-new-benchmark-testing-ai-instruction-following

Solicitar Privacidad Falla

Uno podría suponer una solución fácil: simplemente instruir al agente para que no filtre. Los investigadores probaron exactamente eso, agregando una línea al mensaje del Plan advirtiendo al agente contra la emisión de consultas web que filtren información local. Los resultados fueron decepcionantes.

Para Qwen3-4B, el mensaje redujo la filtración de respuesta/información completa del 34.0% al 25.5%, pero el éxito estricto de la cadena, la proporción de cadenas donde cada salto se responde correctamente, cayó del 48.7% al 44.5%. El cambio de comportamiento principal fue simplemente menos consultas web, no una construcción de consultas consistentemente más segura. El mensaje ayudó ligeramente para algunos modelos, pero quedó una filtración significativa. how-local-llms-like-gemma-and-qwen-are-taming-open-source-repository-triage-at-scale

La Paradoja Rendimiento-Privacidad

Cuando los investigadores entrenaron al agente puramente para mejorar el rendimiento de la tarea, el éxito estricto de la cadena aumentó del 48.7% al 59.3%. Pero la filtración de respuesta/información completa también aumentó, del 34.0% al 51.7%. El modelo había aprendido a empaquetar más contexto en sus consultas web: las consultas más ricas ayudaron a recuperar el documento correcto, pero le dieron al adversario más fragmentos para reensamblar.

"Esta es la tensión central que expone MosaicLeaks. Una consulta más informativa a menudo es mejor para la tarea y peor para la privacidad."

PA-DR: Entrenando Privacidad en el Agente

Los autores proponen un nuevo método llamado Investigación Profunda Consciente de la Privacidad (PA-DR, por sus siglas en inglés), que combina dos recompensas. La primera es una recompensa de tarea situacional que juzga cada llamada del modelo en comparación con otras llamadas realizadas en la misma etapa y salto, con la misma información disponible. Esto proporciona una asignación de crédito mucho más precisa en comparación con las recompensas tradicionales basadas en resultados.

La segunda es una recompensa de privacidad aprendida. Cada vez que el agente produce consultas web, un clasificador Qwen3-4B estima dos riesgos: si las consultas actuales filtran información privada directamente, y si agregarlas al registro de consultas existente crea una nueva filtración por mosaico. PA-DR penaliza el mayor de los dos riesgos.

Los resultados son sorprendentes:

MétodoÉxito Estricto de CadenaFiltración de Respuesta o Información Completa
Qwen3-4B Base48.7%34.0%
Solo Recompensa de Tarea59.3%51.7%
Recompensa de Tarea + PA-DR58.7%9.9%

Ese 9.9% es más bajo que el 34.0% del propio modelo base no entrenado. Entrenar para la privacidad no simplemente canceló la filtración que introdujo el entrenamiento para el rendimiento; dejó al agente filtrando menos de lo que filtraba al principio.

Cabe destacar que PA-DR logra esto sin buscar menos. El agente emite más consultas web que el modelo base, pero esas consultas eliminan detalles reveladores como métricas específicas ("15%" o "2024") y pistas sobre el tipo de respuesta que está buscando. Todavía encuentra los documentos públicos correctos, simplemente deja de llevar fragmentos privados en el texto de la consulta.

Ganancias en Eficiencia de Muestras

La recompensa de tarea situacional también da sus frutos durante el entrenamiento. Debido a que compara llamadas coincidentes en lugar de calificar un rollout completo de una vez, asigna el crédito de manera mucho más precisa sin necesidad de un modelo de valor separado. La recompensa de tarea situacional alcanza el mismo rendimiento de tarea que el RL basado solo en resultados con aproximadamente 5-6 veces menos muestras de entrenamiento generadas, y PA-DR mantiene esa eficiencia mientras agrega la ganancia de privacidad. opid-on-policy-skill-distillation-boosts-language-agent-training-without-external-memories

Limitaciones y Conclusiones

MosaicLeaks es un punto de referencia controlado, no una medición de filtración en sistemas implementados. Los documentos empresariales son sintéticos, el corpus web es fijo, las cadenas abarcan tres contextos de empresa, y cada resultado proviene de un único arnés de agente que ejecuta preguntas y respuestas de múltiples saltos en lugar de investigación abierta. Ese control es lo que hace que la filtración sea medible salto por salto, pero las tareas más amplias, las implementaciones reales y otros diseños de agentes aún necesitan su propio estudio. the-verification-horizon-why-rewarding-coding-agents-is-getting-harder

La conclusión principal del estudio es clara: no se puede pedir privacidad, hay que entrenarla. Decirle a un agente que tenga cuidado apenas mueve la aguja, mientras que recompensar cómo construye cada consulta reduce la filtración en más de 3 veces y deja el éxito de la tarea esencialmente intacto.

El efecto mosaico proviene de cómo un agente busca a lo largo del tiempo, y esta investigación demuestra que es algo que se puede medir, asignar crédito y reducir mediante entrenamiento.