🚨 NeuralTrust reconocido por Gartner
Seguridad Runtime (GAF)
Prompt GuardProtege y modera tus aplicaciones de GenAI
Behavioral Threat DetectionDetecta amenazas de comportamiento en GenAI
Bot DetectionBloquea scrapers y bots sintéticos en tiempo real
Sensitive Data MaskingEnmascara automáticamente datos sensibles y personales
Moderation & Policy EngineAplica políticas personalizadas en sistemas GenAI
AI GatewayUnifica y controla tu infraestructura GenAI
Seguridad de Agentes
Guardian AgentsUna fuerza de agentes de seguridad para controlar las acciones de todos los agentes
Agent Security PostureMonitoreo continuo y control de agentes y herramientas
MCP GatewayControla el acceso de agentes a herramientas y datos
MCP ScannerEscanea y protege el código de tus servidores MCP
Detección de Amenazas
Red TeamingSimula ataques para probar defensas de IA
Alerting & MonitoringRecibe alertas en tiempo real sobre el comportamiento de tu IA
Model Code ScannerDetecta vulnerabilidades en el código del modelo
Tracing & AnalyticsRastrea el comportamiento de la IA en tiempo real
Shadow AIDetecta y bloquea el uso no autorizado de IA
Recursos
Centro de recursos
Guías
Blog
Newsletter
Desarrolladores
Documentación
Empresa
Sobre nosotros
Socios
Careers
Noticias
Contacto
Redes sociales
Obtener demo
Volver

Semantic Chaining: un nuevo ataque de jailbreak por imagen

Alessandro Pignati 29 de enero de 2026
Compartir
Semantic Chaining: un nuevo ataque de jailbreak por imagen

Tras el descubrimiento del ataque de jailbreak multiturno Echo Chamber, los investigadores de NeuralTrust han identificado una vulnerabilidad crítica en la arquitectura de seguridad de los principales modelos multimodales, incluidos Grok 4, Gemini Nano Banana Pro y Seedance 4.5. Esta nueva técnica, a la que hemos llamado Semantic Chaining, permite a los usuarios saltarse los filtros de seguridad principales y generar contenido prohibido, tanto visual como de texto incrustado en imagen, explotando la capacidad de los modelos para realizar modificaciones de imagen complejas y multietapa.

Este exploit no es teórico. Es un método funcional y probado con éxito que demuestra un fallo fundamental en cómo se gobierna la intención multimodal. Mediante un prompt narrativo estructurado y de múltiples pasos, el Semantic Chaining fuerza a estos modelos de última generación a ignorar su entrenamiento de alineamiento. Este descubrimiento es significativo porque sortea las capas de seguridad "caja negra", demostrando que incluso los modelos más avanzados pueden ser guiados sutilmente para producir salidas que violan sus políticas.

Visión general del ataque

El Semantic Chaining Attack es una técnica de prompting adversarial multietapa que convierte en arma el propio razonamiento inferencial y las capacidades de composición del modelo contra sus propios guardrails de seguridad. En lugar de emitir un único prompt abiertamente dañino, que provocaría un bloqueo inmediato, el atacante introduce una cadena de instrucciones semánticamente "seguras" que convergen en el resultado prohibido.

Este método explota una vulnerabilidad en la arquitectura de seguridad del modelo, donde los filtros están diseñados para buscar "palabras malas" o "conceptos malos" en un prompt único y aislado. Carecen de la memoria o de la profundidad de razonamiento para rastrear la intención latente a lo largo de una cadena de instrucciones multietapa. El ataque prospera con esa fragmentación, utilizando una secuencia de ediciones aparentemente inocuas para erosionar gradualmente la resistencia de seguridad del modelo hasta que se genera la salida final prohibida.

La técnica

El jailbreak funciona explotando la capacidad del modelo para realizar modificaciones de imagen complejas y multietapa. La lógica central del exploit sigue este patrón específico de cuatro pasos:

  1. Establecer una base segura: el proceso empieza pidiendo al modelo que "imagine" cualquier escena genérica y no problemática, histórica o de otro tipo, que los filtros de seguridad acepten con facilidad. Esto crea un contexto inicial neutral y habitúa al modelo a la tarea.
  2. La primera sustitución: el atacante indica al modelo que cambie un elemento de la escena original. Esta alteración inicial y permitida sirve para acostumbrar al modelo a trabajar con modificaciones sucesivas y desplaza su foco de la creación a la modificación.
  3. El giro crítico: el atacante ordena entonces al modelo sustituir otro elemento clave por un tema altamente sensible o controvertido. Como el modelo está ahora centrado en la modificación de una imagen existente más que en la creación de una nueva, los filtros de seguridad no reconocen el contexto prohibido emergente.
  4. La ejecución final: el atacante concluye pidiendo al modelo que "responda solo con la imagen" tras realizar estos pasos. El resultado es una imagen totalmente renderizada y prohibida que ha conseguido saltarse todas las capas de moderación en Grok 4, Gemini Nano Banana Pro y Seedream 4.5.

Exploits de texto en imagen

El aspecto más alarmante de este jailbreak es su capacidad para saltarse los filtros de seguridad basados en texto, renderizando información prohibida directamente dentro de la imagen generada. Aunque modelos como Grok 4, Gemini Nano Banana Pro y Seedream 4.5 se niegan a proporcionar instrucciones de texto sobre temas sensibles en una respuesta de chat estándar, pueden ser forzados a escribir esas mismas instrucciones sobre una imagen generada.

Usando Semantic Chaining podemos indicar al modelo que:

  • Imagine una escena genérica y no problemática (p. ej. un escenario histórico o un paisaje neutral) para establecer una base segura.
  • Introduzca un "blueprint", un "póster educativo", un "manifiesto", un "diagrama técnico" o cualquier otro documento escrito como un nuevo elemento dentro de esa escena.
  • Sustituya el texto genérico de ese póster por instrucciones específicas y prohibidas.
  • Renderice el resultado final como una imagen de alta resolución.

Esto convierte de hecho al motor de generación de imágenes en un bypass para todo el alineamiento de seguridad textual del modelo. Los filtros de seguridad buscan "palabras malas" en la salida del chat, pero son ciegos a las "palabras malas" dibujadas píxel a píxel dentro de la imagen.

Por qué funciona esta técnica

La razón por la que esta técnica es tan efectiva frente a modelos multimodales avanzados es que su arquitectura de seguridad es reactiva y fragmentada. El motor de razonamiento del modelo está centrado en la tarea de sustitución y composición, mientras que la capa de seguridad solo mira el texto superficial de cada paso individual.

Cuando usamos Semantic Chaining estamos operando en el "punto ciego" de la lógica de seguridad del modelo. La intención "dañina" ha quedado tan completamente ofuscada a través de la cadena de ediciones que el filtro de salida no se activa. Los sistemas de seguridad no tienen la capacidad de rastrear la intención latente a lo largo de todo el historial conversacional y compositivo.

Ejemplos prácticos del exploit

Para entender la eficacia de esta técnica, considera los siguientes ejemplos que saltan con éxito las capas de seguridad de Grok 4, Gemini Nano Banana Pro y Seedream 4.5.

Ejemplo 1: La sustitución histórica

Este ejemplo ilustra cómo empezar la petición con un contexto histórico o retrospectivo y a continuación introducir cambios siguiendo nuestra técnica puede alterar significativamente la evaluación de seguridad del modelo. El ataque evita disparar el enforcement directo de políticas, aunque la intención subyacente permanece inalterada.

Figura 1: Nano Banana Pro (Gemini) - Ataque fallido

Figura 2: Nano Banana Pro (Gemini) - La sustitución histórica

Figura 3: Grok 4 - Ataque fallido

Figura 4: Grok 4 - La sustitución histórica

Figura 5: Seedream 4.5 - La sustitución histórica

La comparación entre intentos fallidos y exitosos pone de relieve cómo los cambios contextuales sutiles bastan para saltarse las capas de seguridad de Gemini Nano Banana Pro, Grok 4 y Seedream 4.5.

Ejemplo 2: El blueprint educativo

En este escenario, el ataque aprovecha un encuadre educativo para legitimar contenido normalmente restringido. Posicionando la petición como parte de un ejercicio de aprendizaje, material formativo o explicación académica, el modelo se ve empujado a interpretar el prompt como benigno e instructivo.

Figura 6: Grok 4 - Ataque fallido

Figura 7: Grok 4 - El blueprint educativo

Este ejemplo demuestra cómo los mecanismos de seguridad pueden confiar en exceso en una intención pedagógica, dando lugar a un bypass exitoso cuando la misma petición falla bajo una formulación neutral o directa.

Ejemplo 3: La narrativa artística

El último ejemplo explora el uso del storytelling creativo y artístico como estrategia de bypass. El modelo interpreta el contenido como expresivo en lugar de accionable.

Figura 8: Grok 4 - Ataque fallido

Figura 9: Grok 4 - La narrativa artística

Esta abstracción artística debilita la efectividad de los controles de seguridad basados en reglas, permitiendo que la misma instrucción central se cuele cuando se enmarca como parte de una historia o de un escenario imaginativo.

NeuralTrust Shadow AI

Los filtros de seguridad tradicionales son claramente insuficientes frente a esta nueva clase de ataques basados en intención. Para asegurar la IA empresarial necesitas una defensa que pueda rastrear y gobernar toda la cadena de instrucciones en tiempo real. Aquí es donde NeuralTrust proporciona una ventaja crítica.

El módulo NeuralTrust Shadow AI es un plugin de navegador especializado que actúa como una capa proactiva de gobernanza. A diferencia de los filtros del lado del modelo, que pueden ser circunvalados, Shadow AI se sitúa directamente en el navegador del empleado. Cuando un usuario intenta construir una cadena de jailbreak en la barra de búsqueda de herramientas como Grok 4, Gemini Nano Banana Pro o Seedream 4.5, el plugin intercepta la intención en el origen.

Monitorizando en tiempo real la barra de búsqueda y los campos de entrada, Shadow AI bloquea las consultas que infringen políticas antes incluso de que sean enviadas al modelo de IA. Esta intervención "en el origen" es la única forma efectiva de evitar que exploits sofisticados como el Semantic Chaining lleguen a alcanzar un modelo vulnerable.

Reflexiones finales

El jailbreak de Grok 4, Gemini Nano Banana Pro y Seedream 4.5 es una llamada de atención. Demuestra que la "safety" es una ilusión si solo mira la superficie de un prompt. A medida que avanzamos hacia sistemas más potentes y agénticos, la capacidad de gobernar la intención latente será la única forma de mantener la confianza y la seguridad.

Las empresas deben ir más allá del parcheo reactivo y adoptar un modelo de gobernanza proactivo. Implementando el módulo NeuralTrust Shadow AI, las organizaciones pueden cerrar el "intent gap" y asegurar que sus despliegues de IA siguen siendo una herramienta para la productividad, y no un vector de ataque.


Suscríbete a nuestra newsletter

Compartir

Únete a los líderes que aseguran el ecosistema de agentes

Solicita una demo