Jascha Wanger de ThirdKey lanzó VectorSmuggle esta semana — un framework de investigación con licencia Apache 2.0 que demuestra seis técnicas esteganográficas para esconder datos arbitrarios dentro de vector embeddings, emparejado con una defensa criptográfica compañera llamada VectorPin. El framework cataloga las formas en que un atacante con acceso a un pipeline de ingesta puede perturbar embeddings (inyección de ruido, rotación, reescalado, offset, división entre múltiples modelos de embedding) para que los vectores resultantes aún devuelvan los documentos correctos en búsquedas legítimas pero también lleven cargas útiles ocultas a través del stack RAG hacia donde sea que el atacante controle. El preprint compañero probó las técnicas contra text-embedding-3-large de OpenAI más cuatro modelos open — Nomic, EmbeddingGemma, Snowflake Arctic, MXBai — sobre un corpus de 26.000+ chunks que abarca PII sintético, el conjunto de investigación médica NFCorpus de BEIR, y un subconjunto de preguntas de Quora. Las cargas útiles sobreviven al paso a través de FAISS, Chroma y Qdrant en configuraciones estándar y cuantizadas por escalar.

El hallazgo que más importa se separa a lo largo de una línea limpia. Las técnicas de ruido, escalado y offset perturban suficientemente la distribución estadística de los embeddings como para que detectores de anomalías estándar los atrapen confiablemente — esa parte de la amenaza es manejable con herramientas actuales. La rotación no. Porque rotar un vector preserva sus relaciones matemáticas con cada otro vector en el espacio, los detectores de anomalías la pierden a través de cada combinación modelo/corpus probada. En el techo teórico, un codificador basado en rotación puede llevar aproximadamente 1.920 bytes de carga útil oculta por vector a tasa de error cero. Cuando los investigadores le dieron a los atacantes conocimiento completo de los detectores de defensa, los atacantes evadieron la detección por completo. La conclusión que saca el paper es directa: la detección estadística de anomalías funciona como un primer filtro pero no debería ser el control principal. La razón estructural por la cual las herramientas DLP existentes no pueden ayudar acá, es que fueron construidas para escanear contenido de documentos y tráfico de red — leen documentos y leen paquetes, y no leen ninguno de los vectores numéricos de alta dimensión que están sentados entre los dos.

La lectura ecosistémica conecta este trabajo al hilo más amplio de superficie-de-ataque-infraestructura. El encuadre de Wanger en la pieza de Help Net Security es la parte para tomar verbatim: "Casi todo el trabajo actual de seguridad de IA está sucediendo en la capa modelo. Inyección de prompt, jailbreaks, filtrado de salida, alineación. Esa es la superficie visible, y es donde van las charlas de conferencia y la financiación. La capa de infraestructura debajo, los embeddings, los vector stores, los contratos de herramientas, la identidad de agente, ha sido tratada en gran parte como plomería. La plomería es exactamente a donde van los atacantes cuando la puerta de entrada está fuertemente defendida". Esto conecta directamente al ratio NHI 109:1 de Palo Alto publicado el mismo día, a la historia de malware open-OSS de Hugging Face de la semana pasada, y al modelo de identidad MCP-agent de AWS WorkSpaces — todos son vistas diferentes de la misma observación, que la capa de infraestructura de IA es donde los atacantes pasarán los próximos dos a tres años y donde las herramientas defensivas están más atrasadas. La calidad de "clase de ataque novedosa" de VectorSmuggle es lo que eleva la prioridad en esta categoría: no es un error de configuración o un parche faltante, es una propiedad del formato vector-embedding en sí.

Para builders corriendo RAG en producción: la pregunta específica de Wanger es la que hay que hacerle al liderazgo de seguridad mañana por la mañana — "¿Cuál es nuestra visibilidad sobre el contenido de los vector embeddings que dejan nuestra red, y quién es responsable de monitorear ese canal?" Su evaluación de dónde se paran la mayoría de las compañías es "ninguna visibilidad y nadie"; si esa es tu respuesta también, ese es el hallazgo de auditoría. Las defensas concretas a evaluar: el enfoque de firma criptográfica de VectorPin (implementaciones de referencia Python y Rust en el mismo repo), monitoreo de egreso en endpoints de API de embedding (trátalos como buckets S3 que pueden filtrar), y controles más ajustados en pipelines de ingesta — cualquiera que pueda mutar vectores antes de que peguen en la base de datos es un punto de exfiltración potencial. Para builders enviando productos de vector-DB: el resultado de supervivencia en FAISS, Chroma, Qdrant es la parte para tomar en serio; las defensas downstream en la capa DB no son actualmente suficientes. El repositorio y el preprint están linkeados desde la pieza de Help Net Security.