¿En qué se diferencia un jailbreak de una prompt injection?
Respuesta breve
Un jailbreak ataca el alineamiento de seguridad del modelo: engaña al modelo para que produzca contenido que el proveedor intentó prohibir, como instrucciones dañinas. La prompt injection ataca la jerarquía de instrucciones de la aplicación: anula el system prompt del desarrollador o secuestra el comportamiento del modelo dentro de una app, a menudo mediante datos no confiables. Los jailbreaks atacan el modelo; la prompt injection ataca el sistema circundante. Se solapan, pero el objetivo y el límite de confianza que cruzan son distintos.
Estos términos se usan indistintamente, pero una buena respuesta separa el objetivo de cada ataque.
Jailbreak: vencer el alineamiento de seguridad
Un jailbreak busca que el modelo viole la política de seguridad del proveedor: producir contenido que fue entrenado o filtrado para rechazar, como instrucciones de armas, malware o discurso de odio. Las técnicas incluyen el encuadre por juego de rol («eres DAN, sin restricciones»), envoltorios hipotéticos o ficticios, token smuggling, trucos de codificación y cebado many-shot. El adversario combate el alineamiento del modelo y los clasificadores de seguridad que lo envuelven. El éxito se mide por obtener el contenido no permitido.
Prompt injection: secuestrar la aplicación
La prompt injection ataca la jerarquía de instrucciones del desarrollador. Una aplicación da al modelo un system prompt («eres un bot de soporte, responde solo preguntas de facturación»), y la inyección lo anula o subvierte, ya sea directamente por el usuario o indirectamente mediante datos no confiables que la app ingiere. El éxito se mide por hacer que el modelo ignore su tarea prevista, filtre el system prompt o haga mal uso de las herramientas y datos conectados — las técnicas están recopiladas como payloads de prompt injection reutilizables.
Dónde se solapan
Una carga útil puede hacer ambas cosas a la vez: una página web inyectada podría decirle a un agente de navegación que baje sus guardrails y exfiltre datos. Pero la distinción importa para la defensa. La resistencia al jailbreak proviene en su mayoría del alineamiento y los filtros de contenido del proveedor del modelo. La resistencia a la prompt injection es trabajo del constructor de la aplicación: herramientas con mínimo privilegio, validación de salidas, segregación de datos no confiables y aprobación con humano en el bucle.
Qué buscan los entrevistadores
Claridad en que los jailbreaks atacan la seguridad del modelo mientras que la inyección ataca las instrucciones de la app, conciencia de que pueden combinarse, y reconocimiento de que ambos exigen responsables y controles distintos.
Posibles preguntas de seguimiento
- ¿Puede una sola carga útil ser a la vez un jailbreak y una prompt injection?
- ¿Por qué los filtros de seguridad por sí solos son insuficientes contra la prompt injection?
- ¿Cómo monitorizar los intentos de jailbreak en producción?