Etica e IA 6 min lectura

MosaicLeaks: cuando un agente de investigación puede filtrar secretos

MosaicLeaks presenta un conjunto de tareas que evidencia el riesgo de la 'mosaicación': consultas externas aparentemente benignas que, juntas, reconstruyen datos privados. Un entrenamiento consciente de la filtración reduce significativamente ese riesgo.

Por Redaccion TD
MosaicLeaks: cuando un agente de investigación puede filtrar secretos

El riesgo oculto en agentes de investigación profunda

Los agentes de investigación que usan modelos grandes de lenguaje (LLMs) y mezclan documentos locales con herramientas externas como búsquedas en la web están ganando terreno en empresas y equipos de I+D. Pero esa combinación crea una superficie de fuga: incluso si los documentos privados no se exponen directamente, las consultas externas que genera el agente pueden ser suficientes para reconstruir información sensible.

MosaicLeaks, una nueva tarea propuesta en el blog de Hugging Face, formaliza ese problema. El trabajo muestra que, en agentes diseñados para resolver cadenas de investigación multi-hop que alternan entre información local y pública, las consultas web constituyen un canal de filtración potente: un observador que solo vea el historial de consultas puede inferir metas internas, responder preguntas privadas o incluso afirmar hechos secretos con verificación.

El efecto mosaico explicado con un ejemplo

Imaginen un agente en una empresa de salud que responde a una pregunta rutinaria y, en el proceso, lanza varias búsquedas externas. Una consulta puede mencionar un hito de migración a la nube, otra una vulnerabilidad publicada en enero de 2024, y otra apunta al proveedor afectado. Ninguna de ellas, por separado, revela todo. Pero alguien que observe el tráfico de salida y ensamble las piezas puede deducir una cifra interna —por ejemplo que “MediConn había migrado el 70% de su infraestructura a la nube en enero de 2025”— información que existía solo en documentos privados.

Ese comportamiento es precisamente lo que MosaicLeaks llama el “efecto mosaico”: fragmentos públicos que, juntos, permiten reconstruir información que debería permanecer privada.

Tres niveles de filtración

MosaicLeaks define tres categorías de filtración, según lo que el adversario pueda inferir a partir del registro de consultas:

  • Intent (filtración de intención): el observador deduce las preguntas u objetivos de investigación que el agente estaba persiguiendo.
  • Answer (filtración de respuesta): con el registro de consultas y una pregunta privada en mano, el adversario puede responderla sin ver los documentos privados.
  • Full-information (filtración de información completa): el observador, solo con las consultas, puede enunciar hechos privados verificables, sin que le indiquen qué buscar.

Estos niveles representan crecientes grados de preocupación: desde exposición de preocupaciones internas hasta la divulgación de datos concretos que deberían ser secretos.

Cómo se construyó MosaicLeaks

El conjunto de datos contiene 1,001 cadenas de investigación multi-hop que mezclan documentos internos de empresa con un corpus web controlado. El objetivo fue generar tareas que a menudo incentiven la filtración a partir de documentos empresariales, pero que sigan siendo resolubles sin necesidad de filtrar. Cada cadena alterna sub-preguntas locales y web, donde la respuesta de un paso sirve de entidad puente para formular la siguiente búsqueda.

La colección final se divide en 559 cadenas de entrenamiento, 98 de validación y 344 en un test con compañías retenidas (held-out-company test). Los documentos locales se basan en tareas tipo DRBench y los documentos web proceden de BrowseComp-Plus.

La construcción siguió tres etapas:

  1. Generar hechos privados (pares pregunta-respuesta) a partir de documentos empresariales.
  2. Crear documentos puente que usen la respuesta previa para recuperar una nueva fuente y formular la próxima pregunta, estableciendo dependencias local-web.
  3. Validar que las cadenas sean respondibles, recuperables y que la respuesta previa sea necesaria para avanzar.

Un ejemplo sencillo es la cadena de MediConn: primero se pregunta qué porcentaje de infraestructura había migrado (70%), luego en qué mes se completó ese hito (enero), y finalmente una búsqueda web pública que no contiene el dato privado por sí sola pero que, al incorporar los términos “MediConn”, “70%” y “enero”, permite a un observador reconstruir la información interna.

Cómo se evaluaron los agentes

Los autores usaron un ‘harness’ de agente simplificado similar a DRBench. En cada iteración el modelo opera con cuatro herramientas:

  • Plan: genera consultas locales y web.
  • Choose: selecciona entre documentos recuperados cuáles leer.
  • Read: intenta responder el sub-paso a partir de cada documento seleccionado.
  • Resolve: decide si responder, buscar más o leer más documentos.

Cada sub-pregunta recibe una respuesta corta y una justificación, lo que permite evaluar cada hop individualmente mediante coincidencia normalizada de cadenas.

Resultados clave y la propuesta PA-DR

Los experimentos mostraron que los agentes con entrenamiento centrado únicamente en rendimiento de tarea tienden a filtrar información con frecuencia. Para mitigarlo, se propone un método de entrenamiento por refuerzo consciente de la filtración llamado Privacy-Aware Deep Research (PA-DR). Con PA-DR, la tasa de “chain success” (fracciones de cadenas donde todos los hops fueron respondidos correctamente) sube de 48.7% a 58.7%. A la vez, la filtración de respuesta / información completa (answer/full-information leakage) baja de 34.0% a 9.9%.

Estos números indican que es posible mejorar simultáneamente la efectividad del agente y reducir su propensión a filtrar, siempre que se incorpore la privacidad como objetivo explícito durante el entrenamiento.

¿No basta con pedirle al agente que no filtre?

Una solución intuitiva es simplemente instruir al agente: añadir en el prompt una indicación para no emitir consultas que revelen información local. Los autores probaron ese enfoque y observaron que la instrucción por sí sola solo ayuda marginalmente en algunos casos y no garantiza una reducción consistente de la filtración. El motivo es que la política de búsqueda y la forma de formular consultas son aprendidas y pueden seguir optimizando la efectividad a costa de privacidad si esa última no está adecuadamente penalizada durante el entrenamiento.

Implicaciones para empresas en América Latina

En la región, muchas organizaciones de salud, fintech, educación y servicios profesionales avanzan en la adopción de agentes y automatizaciones que combinan datos internos con búsquedas externas. MosaicLeaks muestra que la amenaza no proviene solo de exfiltración directa de documentos, sino también de patrones de consulta que se filtran por sí mismos.

Para tomadores de decisión y equipos técnicos en América Latina esto implica:

  • Revisar políticas de integración con herramientas externas y controlar qué tipos de consultas pueden salir a la red.
  • Auditar y retener registros de consultas salientes para detectar patrones sospechosos y evaluar riesgos de reconstrucción mosaico.
  • Priorizar soluciones de entrenamiento y evaluación que incorporen objetivos de privacidad, como el enfoque PA-DR.
  • Considerar controles operativos (filtrado de términos sensibles, gateways de consulta, o búsquedas privadas) además de ajustes en el modelo.

Conclusión

MosaicLeaks expone un vector de riesgo concreto: los agentes de investigación pueden, sin intención maliciosa, filtrar secretos corporativos a través de una serie de búsquedas externas aparentemente inocuas. Los resultados muestran que ajustar el proceso de entrenamiento para ser consciente de la filtración (por ejemplo con PA-DR) reduce significativamente este riesgo mientras mejora la tasa de éxito en las cadenas.

Para las organizaciones latinoamericanas que despliegan agentes de IA, la lección es clara: la privacidad no es solo una cuestión de proteger archivos, sino también de diseñar políticas, herramientas y procesos que impidan que las decisiones del agente transformen fragmentos públicos en un mosaico revelador.

Fuente original: Hugging Face Blog