Inyección de prompt como confusión de roles

Confusión de roles y la naturaleza de la inyección de prompt

  • Muchos comentaristas coinciden en que el artículo formaliza algo que los practicantes ya sabían: los LLM no tienen “roles” verdaderos; todo son solo tokens en una sola secuencia.
  • El modelo infiere “quién está hablando” a partir del estilo y la posición, no de etiquetas seguras. Eso convierte a “hablar como el sistema” en una poderosa táctica de jailbreak.
  • Varios lo comparan con la ingeniería social: si hablas con un tono de autoridad, el modelo te trata como tal.

Ideas para una señalización de roles más robusta

  • Varias personas sugieren “colorear” los tokens: añadir dimensiones extra de embedding o vectores modificadores que codifiquen el rol (system/user/tool/CoT) por token, de forma análoga a los embeddings posicionales.
  • Las variantes incluyen:
    • Duplicar tokens para la cadena interna de pensamiento.
    • Embeddings de segmento instructivo e IDs de origen por token.
    • Usar metadatos explícitos por canal lateral en lugar de etiquetas dentro de la banda.
  • Otros señalan desafíos: necesidad de datos de entrenamiento etiquetados, entrelazamiento de tema/fuente y riesgo de degradar el rendimiento del modelo.

Seguridad, sandboxing y límites de los LLM como componentes seguros

  • Consenso fuerte: los LLM actuales no proporcionan ningún límite de seguridad real; los roles en las APIs son formato, no autorización.
  • Algunos sostienen que cualquier sistema que permita a un LLM tomar acciones irreversibles es inherentemente inseguro; otros dicen que los usos restringidos y sandboxeados (p. ej., clasificación, detección de spam) son aceptables.
  • Discusión sobre el aislamiento de sesión: los modelos son sin estado en principio, pero el manejo de la caché KV y los errores de sesión web aún pueden filtrar datos.
  • La memoria persistente de agentes se destaca como especialmente arriesgada: las instrucciones inyectadas pueden “lavarse” hasta convertirse en notas “autoria propia” y volverse muy confiables más tarde.

Por qué la saneación clásica y las etiquetas se quedan cortas

  • Los comentaristas preguntan por qué no simplemente eliminar o endurecer las etiquetas. Respuestas:
    • Las APIs modernas a menudo ya usan tokens especiales no falsificables para los límites de rol.
    • El problema central es que los modelos infieren los roles por el estilo; incluso sin etiquetas, el texto del usuario que parece cadena de pensamiento o política del sistema puede anular instrucciones.
  • Se critican los benchmarks estáticos para inyección de prompt; el red-teaming humano que adapta los ataques es mucho más eficaz.

Reflexiones más amplias y escepticismo

  • Algunos creen que la etiqueta de “teoría” está sobredimensionada; otros dicen que la merece al hacer predicciones comprobables y sugerir direcciones de investigación.
  • Hay una preocupación recurrente de que hacer los modelos “seguros” mediante entrenamiento tiende a reducir drásticamente su utilidad, pero aun así no impide por completo los jailbreaks.