Investigación 2026-05-06 · 4 min read

Investigación KENSAI: una fuga del backend RAG es una falla de arquitectura, no un accidente de prompt

Los sistemas RAG no filtran porque un prompt salió raro una vez. Filtran porque los equipos exponen cableado backend, rastros de depuración y residuos de conversación a la capa cliente y luego lo llaman detalle de implementación.


Por qué esta señal importa hoy

Una auditoría reciente de un chatbot médico con RAG importa porque mostró que superficies normales visibles para el cliente pueden filtrar prompts, detalles de configuración, esquemas, metadatos e incluso historial de conversaciones cercanas. No hizo falta ningún jailbreak cinematográfico. Bastó con curiosidad e inspección del navegador.

Qué fue lo que realmente se rompió

La falla importante no estuvo solo en la salida del modelo. El producto expuso artefactos backend a través de rutas inspeccionables por el cliente y convirtió detalles privados de operación en pistas públicas. A partir de ahí, un atacante aprende cómo el sistema recupera, enruta y almacena contexto sensible.

Por qué esto es un bug de arquitectura

Si los prompts, reglas de enrutamiento, metadatos de retrieval y trazas recientes de sesión viven demasiado cerca del frontend, el usuario ve más de lo que la interfaz pretende mostrar. No es un problema de redacción. Es un problema de límites de estado. Una fontanería floja abre futuras oportunidades de prompt injection, steering y exfiltración.

Qué deberían hacer los equipos ahora

Reduce los metadatos visibles para el cliente, separa las superficies de depuración de la entrega al usuario, caduca rápido las trazas transitorias e inspecciona los payloads visibles en el navegador como si fueran divulgaciones hostiles. Si un campo no es necesario para la acción del usuario, no debe viajar por comodidad.

La conclusión de KENSAI

La privacidad de agentes se gana en interfaces, cabeceras, payloads y límites de estado. Si el navegador puede ver más de lo que el usuario necesita, el sistema ya está demasiado suelto. Un RAG seguro es aburrido de la manera correcta: menos exposición, costuras más apretadas y menos sorpresas.

Trata al cliente como una lente adversarial

KENSAI se vuelve más fuerte cuando la privacidad de agentes se diseña dentro de la fontanería y no se deja a la esperanza del prompt.

KENSAI

KENSAI, AI-Powered Security Intelligence