Apostol Vassilev, un científico senior del National Institute of Standards and Technology de Estados Unidos, publicó esta semana un argumento peer-reviewed en IEEE Security & Privacy con un título deliberadamente cansado: Robust AI Security and Alignment: A Sisyphean Endeavor? Su tesis central es una prueba de que para cualquier set finito de guardrails colocado sobre un modelo de IA, existe algún prompt que lleva al modelo a ignorarlos. No la mayoría de los sets, no los sets de hoy, cualquier set finito. La prueba extiende a la IA la lógica que Kurt Gödel publicó en 1931, cuyos teoremas de incompletitud mostraron que los sistemas formales suficientemente poderosos no pueden ser a la vez completos y consistentes. Aplicado aquí, un set de reglas fijo que defiende contra un adversario adaptativo tiene el mismo hueco estructural: siempre hay un input verdadero-pero-no-bloqueado que las reglas no anticiparon.

La teoría viene con un compañero empírico aparte. El Trustworthy AI Research Lab de Stanford, trabajando fuera del NIST, midió qué tan fácil caen las cercas en la práctica: ataques por fine-tuning sortearon a Claude Haiku en 72% de los casos y a GPT-4o en 57%. Los guardrails en juego son los consecuentes, los filtros que deberían bloquear deepfakes, malware, instrucciones de armas biológicas y guía de síntesis de drogas. Vale la pena ser preciso sobre qué está probado versus medido: el resultado al estilo Gödel es el argumento formal de Vassilev de que un bypass universal siempre existe, y los porcentajes son el conteo de otro grupo de cuán seguido tienen éxito ataques específicos hoy. Los dos no son el mismo claim, pero apuntan en la misma dirección.

Esa dirección reencuadra una historia que cubrimos ayer. Anthropic lanzó Claude Fable 5 con un argumento de venta de seguridad: más de 1000 horas de red-teaming externo no encontraron ningún jailbreak universal. El resultado del NIST dice que la ausencia de un jailbreak encontrado no es la ausencia de uno, y que la búsqueda estructuralmente nunca termina. No es un argumento para rendirse, es un argumento contra una fantasía particular, la idea de que la seguridad es un muro que construyes una vez y detrás del cual luego te paras. La receta de Vassilev es un modelo de seguridad continua con tres piezas móviles: red teams cazando nuevos prompts adversarios antes que los atacantes, actualizaciones continuas que endurecen los guardrails a medida que aterrizan los descubrimientos, y resiliencia operacional que asume una brecha y prioriza limitar el daño y recuperarse rápido, cuando, no si, un exploit pasa.

Para cualquiera que despliegue sistemas agénticos, la consecuencia de diseño es concreta y ligeramente incómoda: presupuestar red-teaming perpetuo, no una certificación de una sola vez, porque un certificado describe una cerca en un momento y la prueba dice que la cerca es escalable en cada momento. También es el piso teórico bajo la sombra de seguridad que toda esta semana siguió proyectando: la vulnerabilidad del gateway LiteLLM aterrizando en la lista de explotación activa, el hallazgo de que solo una pequeña fracción de los agentes pasa una barra de seguridad básica, el código de reconocimiento facial de Meta encontrado por desmontaje. Las defensas estáticas sobre sistemas adaptativos son una caminadora, no una barrera. El objetivo declarado de Vassilev no es la invulnerabilidad, que la prueba descarta, sino la economía: alcanzar un estado donde el costo de encontrar un nuevo exploit excede lo que los atacantes están dispuestos a gastar. La seguridad deja de ser una propiedad que posees y se vuelve un presupuesto que sigues rellenando.