La seguridad en los Large Language Models (LLMs) ya no es una opción, es una urgencia. El panorama actual, con ataques de prompts adversarios adaptativos evolucionando a la par de nuestras defensas, exige un nuevo enfoque. Investigaciones recientes (como las citadas en arXiv:2503.00061v2 y arXiv:2510.09023v1) demuestran que las defensas individuales son inefectivas, siendo las tasas de éxito de estos ataques superiores al 50-98%. Esto no es una suposición; es una realidad documentada. Para nuestras empresas, que buscan capitalizar la IA, la clave está en implementar filtros de seguridad multicapa, una estrategia robusta que eleva la protección global.

Protege tus LLMs con filtros de seguridad multicapa

Si tu empresa utiliza o planea usar LLMs, es fundamental entender que una sola capa de seguridad es insuficiente. Los atacantes no son estáticos; sus métodos son adaptativos y utilizan el feedback de las defensas para refinar sus prompts maliciosos. Esto significa que si tu LLM procesa datos externos o interactúa con herramientas, está expuesto a un riesgo significativo. Una arquitectura multicapa no solo contrarresta ataques conocidos, sino que también ofrece una resiliencia mucho mayor frente a nuevas amenazas.

La propuesta de filtros de seguridad multicapa se basa en varias técnicas, cada una diseñada para abordar una vulnerabilidad específica. No se trata de aplicar parches, sino de construir un sistema impenetrable. Aquí te explico las principales:

• Filtro de Perplejidad (Perplexity Filtering – PF): Detecta entradas con baja coherencia semántica, esas que intentan ocultar comandos maliciosos. Es efectivo contra strings generados adversariamente de forma no semántica, aunque los atacantes adaptativos pueden evadirlo.
• Prevención Instruccional (Instructional Prevention – IP): Modifica el system prompt, enseñando al LLM a ignorar comandos externos maliciosos, una capa crucial de protección interna.
• Prevención Sandwich (Sandwich Prevention – SP): Envuelve las respuestas de las herramientas con instrucciones legítimas adicionales. Piensa en ello como un escudo que protege la interacción entre tu LLM y otras aplicaciones.
• Paraphrasing (P): Reescribe el contenido externo. Esta capa parece sencilla, pero es sorprendentemente efectiva para romper optimizaciones a nivel de token que los atacantes usan para evadir filtros.
• Aislamiento de Datos (Data Prompt Isolation): Separa fundamentalmente los prompts del usuario de los de las herramientas. Esto minimiza el riesgo de que una inyección en una parte afecte a la otra.
• Two-stage GCG (T-GCG): Una contramedida específica contra el paraphrasing, utilizando generación adversarial en dos pasos para anular los intentos de ocultar código malicioso mediante la reescritura.

La eficacia de estas defensas ha sido puesta a prueba. Estudios recientes, donde agentes LLM como Llama3-8B y Vicuna-7B fueron atacados, demostraron que las defensas existentes (como ProtectAI o PIGuard) son superadas con tasas de ASR (Attack Success Rate) superiores al 90% por ataques basados en RL, búsqueda o algoritmos genéticos. Es imperativo que las pymes comprendan que una implementación superficial de la IA puede abrir puertas críticas para la seguridad de sus datos y operaciones. (Fuente de la noticia).

Fuente: Marktechpost