LLM Primer VII — Introducción e índice de la serie
Un recorrido capítulo por capítulo de LLM Primer VII: Seguridad de la IA — el volumen final, donde el arco de ingeniería de la serie aterriza en la disciplina que decide si algo de lo anterior sobrevive frente a adversarios, reguladores o los modos de fallo cotidianos de los sistemas probabilísticos.
Por qué existe esta serie
En la seguridad tradicional, el código y los datos son cosas distintas. Los parsers, los escapes y las consultas parametrizadas descansan sobre esa separación. En los sistemas LLM, la misma cadena que transporta las instrucciones del desarrollador transporta también la entrada del usuario, el documento recuperado, la salida de una herramienta y todo lo que el modelo vio durante el entrenamiento que se parezca a cualquiera de esos elementos. No hay ninguna posición sintáctica demostrablemente inerte frente a un transformador, ni ninguna subcadena que el modelo lea con garantía como dato en vez de como instrucción. Esa colisión estructural es la razón por la que la inyección de prompts, los jailbreaks y los ataques adversariales no son bugs de implementación que parchear sino consecuencias de diseño que hay que gestionar. La disciplina de seguridad para sistemas LLM hereda el vocabulario de la seguridad tradicional — activos, adversarios, controles, incidentes — y reconstruye el sustrato por debajo. El Volumen VII es esa reconstrucción por escrito, desde el modelo de amenazas hasta el perímetro regulatorio.
Para quién escribí este libro
Ingenieros de seguridad que ahora tienen un LLM en producción y se preguntan qué partes de su manual ya escrito siguen aplicándose. Ingenieros de ML que entrenaron o ajustaron el modelo y ahora deben razonar sobre quién podría atacarlo. Responsables de plataforma y SREs que operan la pila de inferencia y reciben el aviso cuando saltan patrones de abuso. CISOs que tienen que firmar despliegues de IA y responder ante consejos, reguladores y auditores sobre qué significa «seguro» cuando el componente en cuestión emite distribuciones de probabilidad. El libro asume fluidez con la ingeniería de producción y no da por sentada familiaridad previa con el ML adversarial; construye las partes centradas en el modelo desde los primeros principios y las conecta con las disciplinas de seguridad existentes allí donde la conexión es real.
Cómo leerlo
Los diecisiete capítulos se dividen en seis partes. Los capítulos 1 a 3 construyen los cimientos — por qué la seguridad de la IA es diferente, cómo modelar amenazas en un sistema LLM y la dimensión de datos a lo largo de su ciclo de vida. Los capítulos 4 a 6 recorren la capa de prompt e interacción: inyección de prompts, filtrado de entradas y salidas, y generación aumentada por recuperación. Los capítulos 7 a 9 recorren el modelo en sí: alucinaciones como fallo de fiabilidad, ataques adversariales y la cadena de suministro del modelo. Los capítulos 10 a 12 recorren la arquitectura del sistema alrededor del modelo — aislamiento, observabilidad y control de acceso. Los capítulos 13 a 15 recorren el perímetro de gobernanza — regulación, IA responsable y la organización que sostiene la disciplina. El capítulo 16 recorre el ajuste fino como su propia superficie de seguridad, y el capítulo 17 cierra con las amenazas emergentes que todavía están tomando forma.
El recorrido de 17 capítulos
Entre el 10 y el 26 de mayo, el walkthrough publica un capítulo por día. Cada artículo destila las tres ideas clave del capítulo en aproximadamente cinco minutos de lectura; el capítulo del libro contiene los ejemplos desarrollados, el código y las cápsulas «In Plain English».
- 10 de mayo — Capítulo 1 — Por qué la seguridad de la IA es diferente. Seguridad tradicional frente a seguridad centrada en el modelo; por qué los LLM rompen la separación código/datos y convierten la envolvente conductual en la superficie de ataque.
- 11 de mayo — Capítulo 2 — Modelado de amenazas para sistemas LLM. STRIDE, PASTA y MITRE ATLAS aplicados a los activos, adversarios y superficies de ataque de un LLM.
- 12 de mayo — Capítulo 3 — Seguridad de datos y privacidad. Riesgos de los datos de entrenamiento, memorización y extracción, los incidentes de Samsung y del Garante, y la disciplina de cifrado, aislamiento y retención.
- 13 de mayo — Capítulo 4 — Inyección de prompts y jailbreaks. Inyección directa e indirecta, taxonomías de jailbreak, sufijos universales, y por qué la mitigación tiene que ser por capas y no sintáctica.
- 14 de mayo — Capítulo 5 — Validación de entradas y filtrado de salidas. Saneamiento por etapas, prompting estructurado, Llama Guard, red teaming con Garak y PyRIT, y métricas de seguridad honestas.
- 15 de mayo — Capítulo 6 — Riesgos de la generación aumentada por recuperación. Fronteras de confianza en RAG, inyección mediante documentos maliciosos, envenenamiento de índices y embeddings, y monitorización del canal de recuperación.
- 16 de mayo — Capítulo 7 — Alucinaciones y fiabilidad. Por qué los modelos fabrican, calibración y escalado de temperatura, arquitecturas híbridas de verificación y patrones eficaces de human-in-the-loop.
- 17 de mayo — Capítulo 8 — Ataques adversariales contra modelos. El linaje que va de FGSM a TextFooler y a los sufijos universales, ataques black-box contra APIs, y el robo de modelos como preocupación de confidencialidad.
- 18 de mayo — Capítulo 9 — Integridad del modelo y riesgos de la cadena de suministro. BadNets, Sleeper Agents, deserialización de pickle frente a safetensors, Sigstore y monitorización del drift conductual.
- 19 de mayo — Capítulo 10 — Diseño de arquitecturas seguras para LLM. Aislamiento, validación multicapa, motores de políticas como OPA y Cedar, diseño seguro de APIs y zero-trust aplicado a las llamadas al modelo.
- 20 de mayo — Capítulo 11 — Observabilidad, registro y respuesta a incidentes. Qué registrar con las convenciones OpenTelemetry GenAI, detección de abuso, alertado y playbooks de incidentes con la forma NIST.
- 21 de mayo — Capítulo 12 — Control de acceso e identidad. OAuth, mTLS, RBAC frente a ABAC, aislamiento multi-tenant, límites de tasa y la capa de gobernanza empresarial.
- 22 de mayo — Capítulo 13 — Panorama regulatorio. La aplicabilidad por fases del Reglamento de IA de la UE, el RGPD aplicado a la IA, auditabilidad, model cards y marcos de clasificación de riesgo.
- 23 de mayo — Capítulo 14 — Sesgo, equidad e IA responsable. Fuentes de sesgo, benchmarks de equidad y sus límites, la disyuntiva entre seguridad y utilidad, y la política organizacional de IA.
- 24 de mayo — Capítulo 15 — Construir una organización de IA segura. Cultura de seguridad específica para IA, red teams internos, riesgo de proveedores, evaluación continua y stewardship de modelos a largo plazo.
- 25 de mayo — Capítulo 16 — Ajuste fino y adaptación seguros. Erosión del alineamiento por datos benignos, envenenamiento deliberado, puertas de evaluación en CI y disciplina de rollback.
- 26 de mayo — Capítulo 17 — Amenazas futuras y defensas emergentes. Agentes autónomos y radio de acción del uso de herramientas, superficies de ataque multimodales, identidad sintética y aseguramiento IA-contra-IA.
Sobre este libro y la serie
La serie LLM Primer son siete volúmenes escritos por Sho Shimoda, publicados en Amazon KDP y leídos capítulo por capítulo aquí, en el blog de ReceiptRoller. La serie sostiene que construir con LLMs es una disciplina de sistemas y que la disciplina se aprende mejor recorriendo cada capa de la pila en prosa que empieza por el mecanismo, no en forma de checklist. El Volumen VII cierra ese arco. Es el volumen de seguridad, y es también el volumen que relee los otros seis con una lente adversarial — el pipeline de recuperación del Volumen III como canal de inyección, la pila de inferencia del Volumen VI como frontera de rate limit, el trabajo de alineamiento del Volumen II como superficie de ataque para el fine-tuning. Donde los volúmenes anteriores decían «así funciona», este dice «así puede hacerse fallar, y qué hacer al respecto».