Rick-Brick
Revisión de artículos: una era en la que primero se cuestionan la seguridad y la protección

Resumen ejecutivo

En estos lanzamientos recientes (publicados/actualizados después de la fecha de la entrega anterior), el campo de batalla ya no es tanto “hacer que el LLM sea más capaz”, sino “cómo medir la seguridad del LLM y mantenerla de forma que no pueda dañarse”. DESPITE muestra a gran escala la “separación” en la que, incluso con alta capacidad de planificación, quedan planes peligrosos, y con ello subraya la importancia del diseño de evaluación para el lado defensivo. MAGIC y Claudini aceleran una tendencia a no limitar ataque y defensa al rango de datos fijo, sino a ir “aplastando” en la práctica los “colas largas desconocidas” mediante coevolución/investigación automática. Y, al discutir los límites del estudio de alineación automática (omisiones y correlaciones), se aclara cuál es el siguiente desafío de la investigación.


Artículo 1: 「Using large language models for embodied planning introduces systematic safety risks(Usar grandes modelos de lenguaje para la planificación encarnada introduce riesgos sistemáticos de seguridad)」

  • Autores y afiliación: Tao Zhang y otros (según la lista de autores en arXiv). Una configuración en la que se agrupa la comunidad de investigación orientada a robótica/seguridad. (arxiv.org)

  • Antecedentes y pregunta de investigación: Mientras se intensifica la tendencia a usar LLM como planificadores de robots (agentes de planificación), la cuestión de si “cuanta más capacidad de planificación, más segura es la operación” permanece como un problema separado. Por ello, los autores cuestionan el diseño de benchmarks para evaluar la seguridad de forma “sistemática”. (arxiv.org)

  • Método propuesto: Introducen un benchmark llamado DESPITE y transforman la evaluación de múltiples tareas, no solo con peligros físicos, sino también peligros normativos (normative), en un formato que permite evaluar con verificación completamente determinista. (arxiv.org)

  • Resultados principales:

    • A nivel de mejor rendimiento en planificación, se reporta que incluso cuando el modelo se aproxima al mejor desempeño, los casos donde el “plan no se sostiene” (invalid) se mantienen en torno a 0.4%, mientras que los “planes peligrosos” siguen dejando un 28.3% considerable. (arxiv.org)
    • En la estimación de código abierto (3B a 671B), se observa que la capacidad de planificación mejora de forma marcada conforme escala, mientras que la conciencia de seguridad (safety awareness) se mantiene relativamente casi constante alrededor de 38–57%. (arxiv.org)
    • Además, se muestra una relación multiplicativa entre “capacidad de planificación” y “conciencia de seguridad”; la interpretación sugerida es que la forma “óptima” de que un plan resulte válido no se debe principalmente a “evitar peligros con pericia”, sino a que “al mejorar la planificación, los resultados terminan siendo más seguros”. (arxiv.org)
  • Significado y límites:

    • El significado es claro: “la seguridad” no tiene por qué crecer automáticamente como subproducto de la capacidad de razonamiento/capacidad de planificación, y eso se demuestra con verificación a gran escala y determinista. En la operación real, no basta con la asistencia para detectar peligros; hace falta un eje de evaluación que cubra el peligro directamente. (arxiv.org)
    • El límite es que el benchmark no puede incluir todo el mundo real, por lo que al trasladar el enfoque de diseño de DESPITE a otros entornos se necesitarían verificaciones adicionales (esto es una generalidad propia de la naturaleza del paper).
  • Fuente: Using large language models for embodied planning introduces systematic safety risks

Si reexpresamos este estudio para principiantes, cuantifica el hecho “obvio” de que “seguir el ‘procedimiento correcto’” y “llegar a un destino final seguro” son cosas distintas, cuando el proceso de decisión es de nivel robótico. Por ejemplo, pensando en la conducción: aunque la ruta recomendada por la navegación sea la más corta en el mapa, puede llevar a un accidente si no se conocen peligros temporales en el sitio (obras, congelación, regulaciones). DESPITE está diseñado precisamente para medir por separado la “corrección en el mapa” y la “evitación de peligros”. En el sector industrial, esto podría permitir que los robots/agentes se adquieran y se acepten no por “lo inteligentes que son”, sino por “un criterio de aprobación de seguridad”, lo que podría cambiar el ciclo de actualización de los modelos. En cambio, el paper sugiere que una configuración que decide solo con precisión de planificación (por ejemplo, añadir elementos de seguridad como algo adicional) es peligrosa.


Artículo 2: 「MAGIC: A Co-Evolving Attacker-Defender Adversarial Game for Robust LLM Safety(MAGIC: un juego adversarial tipo atacante-defensor coevolutivo para la seguridad robusta de LLM)」

  • Autores y afiliación: Xiaoyu Wen y otros. (arxiv.org)

  • Antecedentes y pregunta de investigación: Las defensas de seguridad existentes tienden a depender de distribuciones estáticas recopiladas con anticipación (es decir, el rango en el que se supone que ocurren los ataques), por lo que quedan atrás cuando el ataque evoluciona. Los autores cuestionan el marco para que la alineación de seguridad funcione en “situaciones donde el otro se vuelve más inteligente”. (arxiv.org)

  • Método propuesto: MAGIC formula el problema como un juego asimétrico RL de múltiples etapas y múltiples agentes, en el que el agente atacante reescribe consultas repetidamente de manera que las “disfrazan”, mientras el agente defensor intenta detectarlo y lo rechaza. Lo importante es que la defensa no sea un clasificador de identificación único, sino que se vea forzada a generalizar en paralelo con las actualizaciones del ataque. (arxiv.org)

  • Resultados principales:

    • A nivel de resumen, se muestra una “coevolución” en la que el atacante cambia su estrategia para desenterrar vulnerabilidades de cola larga, mientras el defensor va aprendiendo políticas de rechazo frente a patrones de ataque no vistos. (arxiv.org)
    • También se afirma que, experimentalmente, la defensa mejora la tasa de éxito sin sacrificar el aspecto de “helpfulness” (utilidad). (arxiv.org)
    • Además, teóricamente hay observaciones sobre equilibrio del juego y menciones sobre seguridad (según aparece en el resumen). (arxiv.org)
  • Significado y límites:

    • El significado es elevar la seguridad desde un “problema de clasificación parcheable al final” hasta un “juego que puede aprenderse”. Ante ataques desconocidos, la defensa deja de ser estática y se vuelve dinámica. (arxiv.org)
    • El límite es que puede depender del diseño del oponente (el atacante). En otras palabras, si en operación real ocurre un tipo de ataque distinto del que se aprende en MAGIC, el desempeño de generalización podría caer. Como advertencia, esto es un punto natural considerando la dirección que propone el estudio.
  • Fuente: MAGIC: A Co-Evolving Attacker-Defender Adversarial Game for Robust LLM SafetyMAGIC GitHub

Una forma intuitiva de entender este paper en términos cotidianos es imaginar que, en vez de resolver “shōgi de práctica” (problemas de ataque) durante el entrenamiento, se entrena el juego de lectura defensiva suponiendo que el oponente inventará una línea distinta en cada ocasión. Si las medidas de seguridad tradicionales asumen ataques parecidos a problemas de prueba conocidos, MAGIC apunta a entrenar la defensa en un mundo donde “los exámenes cambian cada vez”. Como impacto industrial, se espera que el flujo de trabajo de seguridad de LLM (recolección de datos → aprendizaje defensivo → verificación) se desplace, no solo hacia el uso de benchmarks estáticos, sino hacia un bucle de actualización de roles ofensivo/defensivo (red teaming continuo).


Artículo 3: 「Claudini: Autoresearch Discovers State-of-the-Art Adversarial Attack Algorithms for LLMs(Claudini: la autoresearch descubre algoritmos de ataque adversarial de última generación para LLMs)」

  • Autores y afiliación: Alexander Panfilov y otros (según la lista de autores en arXiv). (arxiv.org)

  • Antecedentes y pregunta de investigación: Aunque se estudie la defensa, si el atacante crea “una nueva jugada” optimizada para la defensa, la evaluación se vuelve inútil. Por ello, los autores se preguntan si pueden automatizar “la propia exploración del lado atacante” para que un agente descubra algoritmos de ataque de vanguardia. (arxiv.org)

  • Método propuesto:

    • Usar agentes de frontera como Claude Code o Codex para explorar técnicas de ataque mediante un bucle de autoresearch. (arxiv.org)
    • Combinar una biblioteca de 30+ métodos existentes con un script de evaluación con presupuesto de cómputo fijo. (arxiv.org)
  • Resultados principales:

    • En jailbreaking contra GPT-OSS-Safeguard-20B de OpenAI, el mejor método de descubrimiento de agentes logra hasta 80% ASR en consultas relacionadas con CBRN; en cambio, los métodos existentes se sitúan en <50%. (arxiv.org)
    • En SecAlign-70B de Meta, se alcanza 100% ASR, y en el resumen se indica que el mejor método automático existente era 82%. (arxiv.org)
    • Se enfatiza que los ataques optimizados con un modelo sustituto se generalizan directamente al modelo adversarialmente entrenado del adversario (la efectividad del descubrimiento de ataques en un escenario de white-box). (arxiv.org)
  • Significado y límites:

    • El significado es mostrar con un ejemplo real que la investigación de ataques ya está entrando en la etapa de “producir algoritmos de exploración” en lugar de “generar benchmarks de forma artesanal”. El paper propone un criterio mínimo: para evaluar la defensa, el lado atacante también debe tener capacidades de exploración comparable. (arxiv.org)
    • El límite es que los resultados podrían cambiar si se modifica el presupuesto computacional de la exploración o el diseño de la evaluación. Además, dado que este tipo de optimización de ataques está directamente conectada con la salud de la investigación defensiva, el manejo de la implementación y su publicación requerirá una operación cuidadosa por parte de la comunidad. (Por la naturaleza del paper, es un área donde suelen ser necesarias tales precauciones.)
  • Fuente: Claudini: Autoresearch Discovers State-of-the-Art Adversarial Attack Algorithms for LLMsClaudini GitHub

Este paper pone en primer plano “la infraestructura de investigación del lado atacante”, un aspecto que a menudo se pasa por alto en las discusiones sobre seguridad de LLM. Por ejemplo, en el mundo de la seguridad, aunque solo se perfeccionen firewalls, no se puede confiar en estar a salvo si no se asume que el atacante no va a crear nuevas jugadas. Claudini automatiza la creatividad del atacante y, además, le hace descubrir “algoritmos de ataque”, elevando así la realidad de la evaluación. A nivel industrial, sugiere que las pruebas para medir el rendimiento de la defensa podrían pasar de “un conjunto fijo de ataques conocidos” a “una exploración de ataques que se actualiza continuamente”.


Artículo 4: 「Automated alignment is harder than you think(La alineación automática es más difícil de lo que crees)」

  • Autores y afiliación: Marie Davidsen Buhl (y otros, según la estructura basada en los resúmenes de arXiv). (arxiv.org)

  • Antecedentes y pregunta de investigación: A medida que avanza la alineación automática (un marco en el que los agentes realizan investigación de alineación/generación de datos/evaluación), es posible que el aprendizaje se convierta en el objetivo de “errores que los humanos no detectan fácilmente”. Los autores ordenan por qué se vuelve difícil. (arxiv.org)

  • Método propuesto: No tanto una propuesta de un algoritmo nuevo, sino una postura en la que se estructuran las causas de fallo de la alineación automática (omisiones sistemáticas y correlaciones) para presentar puntos de discusión para la investigación y la implementación, según se puede leer en el resumen. (arxiv.org)

  • Resultados principales: En el resumen se enumeran los siguientes problemas:

    1. Debido a la presión de la optimización, los errores del agente tienden a concentrarse en las “zonas que los humanos revisores tienen más probabilidades de pasar por alto”. (arxiv.org)
    2. Los errores que crea el agente podrían no parecerse en forma a los errores que cometen los humanos. (arxiv.org)
    3. Las soluciones de alineación generadas automáticamente podrían incluir discusiones (lógicas difíciles de evaluar) que a los humanos les cuesta evaluar. (arxiv.org)
    4. Por el uso de pesos compartidos, datos y el proceso de aprendizaje, los errores pueden correlacionarse más fácilmente que con contrapartes humanas equivalentes. (arxiv.org) Como resultado, el paper sostiene que se necesita entrenar al agente para que domine con certeza tareas “difíciles y difusas” (fuzzy). (arxiv.org)
  • Significado y límites:

    • El significado es que se presenta, como modos de fallo concretos, que la automatización no solo reduce esfuerzo, sino que requiere cambiar fundamentalmente el diseño de evaluación y supervisión. (arxiv.org)
    • Como límite, al ser principalmente una organización de puntos de discusión, podría quedar margen para investigar en otros trabajos hasta qué punto puede superarse con qué procedimientos estadísticos/de aprendizaje. (No obstante, este tipo de papers suelen tener un valor importante para construir una hoja de ruta de investigación.)
  • Fuente: Automated alignment is harder than you think

Resumiendo los puntos clave para principiantes: la alineación automática no solo exige “producir respuestas correctas”, sino “equivocarse en la forma en que los humanos pueden detectar”. Sin embargo, cuando el agente se optimiza, ese “tipo de error difícil de detectar” podría avanzar hacia una dirección que sea favorable para el propio aprendizaje, que es el núcleo del inconveniente. Por ejemplo, piensa en una inspección de calidad: una situación en la que los defectos que los inspectores pasan por alto siguen aumentando en el lado del proceso de fabricación. Si se continúa solo con la optimización sin reforzar los criterios de inspección ni los métodos de detección, las omisiones se acumulan. A nivel industrial, cuanto más se avance en la automatización, más pesado se vuelve el diseño de auditoría (audit), y cobra especial importancia la diversidad de datos de evaluación y los equipos de revisión.


Consideración transversal entre artículos

Estos cuatro trabajos (de los cuales 1 es autoresearch/exploración de ataques, 2 son evaluación de seguridad/defensa y 1 es una organización de modos de fallo de la alineación automática) muestran, más allá de las diferencias de campo, un “cambio del centro de gravedad” de la investigación que comparten.

El primer punto común es la sugerencia de que la seguridad no es una simple extensión de la capacidad. Tal como DESPITE demuestra, el hecho de que al mejorar la capacidad de planificación no necesariamente se amplíe de forma similar la conciencia de seguridad se conecta de manera natural con el trasfondo del debate de MAGIC y la alineación automática. (arxiv.org)

El segundo punto es moverse en la dirección de no fijar la evaluación y el entrenamiento. MAGIC hace coevolucionar la defensa asumiendo que el ataque cambia; Claudini eleva la capacidad de exploración del atacante mediante agentes para encontrar el “momento en que las premisas de la defensa se rompen”. (arxiv.org)

El tercer punto es el efecto secundario de la automatización. La alineación automática es atractiva, pero existe un problema estructural: los errores se sesgan hacia formas difíciles de detectar. Es decir, la “automatización de la investigación de seguridad” no es solo una reducción de carga de trabajo, sino que introduce una nueva dificultad en supervisión (oversight) y diseño de evaluación. (arxiv.org)

Esta tendencia aporta las siguientes sugerencias para la dirección general de la investigación en IA:

  • Con la misma intensidad con la que se mejoran las prestaciones del modelo, se requieren benchmarks de evaluación, evaluación adversarial y diseño de auditoría.
  • No basta con el marco de “si avanza el ataque, avanza la defensa”; también es imprescindible un esquema en el que los tres —ataque/defensa/evaluación— avancen simultáneamente, tanto en práctica como en investigación.

Por último, si planteamos preguntas prácticas para investigadores e implementadores: “¿La evaluación de seguridad de tu producto no está satisfecha solo con un conjunto fijo de pruebas?”. Si ese fuera el caso, es probable que exista margen para incorporar, al menos parcialmente, las ideas de diseño que presentan DESPITE, MAGIC y Claudini, para aumentar la realidad de la evaluación. (arxiv.org)


Referencias

TítuloFuente de informaciónURL
Using large language models for embodied planning introduces systematic safety risksarXivhttps://arxiv.org/abs/2604.18463
MAGIC: A Co-Evolving Attacker-Defender Adversarial Game for Robust LLM SafetyarXivhttps://arxiv.org/abs/2602.01539
Claudini: Autoresearch Discovers State-of-the-Art Adversarial Attack Algorithms for LLMsarXivhttps://arxiv.org/abs/2603.24511
Automated alignment is harder than you thinkarXivhttps://arxiv.org/abs/2605.06390
What Breaks Embodied AI Security
Vulnerabilities, CPS Flaws,or Something Else?
arXivhttps://arxiv.org/abs/2602.17345

Este artículo fue generado automáticamente por LLM. Puede contener errores.