Investigación KENSAI: una fuga del backend RAG es una falla de arquitectura, no un accidente de prompt
Los sistemas RAG no filtran porque un prompt salió raro una vez. Filtran porque los equipos exponen cableado backend, rastros de depuración y residuos de conversación a la capa cliente y luego lo llaman detalle de implementación.
Por qué esta señal importa hoy
Una auditoría reciente de un chatbot médico con RAG importa porque mostró que superficies normales visibles para el cliente pueden filtrar prompts, detalles de configuración, esquemas, metadatos e incluso historial de conversaciones cercanas. No hizo falta ningún jailbreak cinematográfico. Bastó con curiosidad e inspección del navegador.
Qué fue lo que realmente se rompió
La falla importante no estuvo solo en la salida del modelo. El producto expuso artefactos backend a través de rutas inspeccionables por el cliente y convirtió detalles privados de operación en pistas públicas. A partir de ahí, un atacante aprende cómo el sistema recupera, enruta y almacena contexto sensible.
Por qué esto es un bug de arquitectura
Si los prompts, reglas de enrutamiento, metadatos de retrieval y trazas recientes de sesión viven demasiado cerca del frontend, el usuario ve más de lo que la interfaz pretende mostrar. No es un problema de redacción. Es un problema de límites de estado. Una fontanería floja abre futuras oportunidades de prompt injection, steering y exfiltración.
Qué deberían hacer los equipos ahora
Reduce los metadatos visibles para el cliente, separa las superficies de depuración de la entrega al usuario, caduca rápido las trazas transitorias e inspecciona los payloads visibles en el navegador como si fueran divulgaciones hostiles. Si un campo no es necesario para la acción del usuario, no debe viajar por comodidad.
La conclusión de KENSAI
La privacidad de agentes se gana en interfaces, cabeceras, payloads y límites de estado. Si el navegador puede ver más de lo que el usuario necesita, el sistema ya está demasiado suelto. Un RAG seguro es aburrido de la manera correcta: menos exposición, costuras más apretadas y menos sorpresas.
- Trata los payloads visibles en navegador como una superficie de divulgación, no solo de renderizado.
- Mantén prompts, esquemas y metadatos de retrieval/depuración fuera del cliente salvo necesidad real.
- Haz caducar agresivamente las trazas de sesión y prueba la UI como un atacante con devtools.
Trata al cliente como una lente adversarial
KENSAI se vuelve más fuerte cuando la privacidad de agentes se diseña dentro de la fontanería y no se deja a la esperanza del prompt.
KENSAIKENSAI, AI-Powered Security Intelligence