KG-AUDIT / 2026

OBJETIVO: TU LLM EN PROD

NIVEL · RED TEAM · IA

koga.ar / auditoria

Auditoría de IA · Red team ofensivo

Atacamos tu IA. Encontramos las grietas. Te damos el mapa.

40+ ataques reales contra tu LLM en producción. Informe priorizado y accionable. Te decimos exactamente dónde estás expuesto.

Agendar llamada Próxima sesión disponible · martes 14:00 ART

40+ vectores de ataque 8 familias de ataque 3 entregables

02 · qué te llevás

Tres entregables.
Nada de abstracciones.

Inventario de superficie

Cada lugar de tu producto donde un input no confiable termina en un prompt. Inputs de usuario, documentos, URLs, herramientas conectadas, memoria persistente.

→ /api/chat · input directo
→ /upload · documentos RAG
→ tool: web_search · respuestas externas
→ memoria de sesión cruzada

Reporte de ataques

Qué probamos. Qué pasó. Qué información extrajimos. Cada ataque con request/response, severidad y reproducibilidad.

CRIT System prompt leak
ALTO RAG cross-tenant
MED Tool argument abuse
BAJO Token flooding

Plan de mitigación

Priorizado por impacto / esfuerzo. Remediaciones concretas, accionables. No "implementar zero-trust". Sí "validar X en el handler Y".

P0 Aislar contexto RAG por tenant
P0 Sanitizar args en tool calls
P1 Rate limit por sesión
P2 Filtros de output sobre PII

03 · cómo trabajamos

Cuatro fases.
Sin sorpresas.

Vas a saber exactamente qué pasa en cada fase. Esto baja la fricción del "qué me van a vender".

01 contexto

Fase 01 · contexto
Tu equipo nos da contexto.

Arquitectura del LLM, accesos, restricciones legales. Preguntas concretas, no un cuestionario.
02 ataque

Fase 02 · ataque
Corremos el set de ataques.

Contra tu staging o sandbox. Tu equipo mira la pantalla. Vemos juntos qué pasa cuando algo se rompe.
03 hallazgos

Fase 03 · hallazgos
Repasamos qué pasó.

Qué significa cada hallazgo, qué hace explotable, qué blast radius tiene. Cero jerga inflada.
04 plan

Fase 04 · plan
Te entregamos el plan priorizado.

Remediaciones concretas, ordenadas por impacto. El reporte completo llega documentado, paso a paso.

04 · qué probamos

Catálogo
de ataques.

No tiene que ser exhaustivo. Sí tiene que ser específico. Estos son los vectores que ejecutamos en cada sesión.

Prompt injection

Directa e indirecta — vía documentos, emails, URLs y respuestas de tools externos.

Override de system prompt
Inyección en documentos RAG
Injection vía URLs / fetch

Jailbreak

Roleplay, encoding (base64, leetspeak, idiomas), cadenas multi-turn.

DAN / roleplay personas
Obfuscación de prompt
Escalada multi-turno

System prompt extraction

Filtración del prompt de sistema y de memoria persistente entre sesiones.

Echo / repetición forzada
Format hijacking
Memoria cross-session

Data exfiltration · RAG

Contexto sin aislamiento, fuga cross-tenant, recuperación de docs no autorizados.

RAG poisoning
Cross-tenant leak
Embedding inversion

Tool abuse

Argumentos maliciosos en function calls, invocación de tools no autorizadas.

Inyección de parámetros
Privilege escalation por tool
Side-effects no validados

Output liability

Toxicidad, hallucination crítica en dominios sensibles, leak de PII.

Generación tóxica
Consejo legal/médico
Filtración de PII

DoS · token flooding

Denegación de servicio por contexto, abuso de costos, latencia inducida.

Context window flooding
Recursive tool loops
Cost amplification

Multi-agente · pivoting

Cadenas entre tools, escalada de permisos cruzando agentes, persistencia.

Pivot agent A → agent B
Permisos heredados
Persistencia en memoria compartida

05 · qué necesitamos

De tu lado.
Pedimos poco.

Staging con tu LLM productivo. O un read-only de prod. Si no tenés staging, lo armamos juntos antes — agregamos 30 min al inicio.
Tu lead técnico, disponible. Que sepa cómo está montada la arquitectura del LLM. Una persona alcanza.
NDA mutuo. Si avanzamos a la auditoría, lo firmamos antes de arrancar. Mandanos el tuyo o usamos el nuestro.

Eso es todo.

06 · para quién es

Calificamos.
Sin perder
el tiempo.

Es para vos si

Tu producto en producción integra un LLM (propio, OpenAI, Anthropic, Bedrock, vLLM, lo que sea).
El LLM tiene acceso a datos, tools o salida pública.
Tu equipo de seguridad nunca corrió un test específico contra IA.

No es para vos si

Estás evaluando "qué LLM usar". Volvé cuando lo tengas en producción.
Buscás certificación de cumplimiento. Hacemos auditoría técnica, no compliance.

07 · faq

Anticipamos
las objeciones.

Las cinco que importan. No doce.

¿Cuánto dura la auditoría?

Depende de la superficie de tu producto. Lo definimos en una primera llamada de scope y te pasamos un plan con alcance y tiempos antes de empezar. Nada arranca sin que sepas el detalle.
¿Pueden romper algo en producción?

Corremos contra staging. Si no tenés staging, lo armamos juntos antes — agregamos 30 min al inicio. Cero ataques destructivos contra datos reales.
¿Y si descubren un 0-day en mi sistema?

Te lo decimos en el momento. Coordinamos remediación antes de cualquier disclosure. Eso es no negociable.
¿Qué pasa si mi modelo es propio / open source / on-prem?

Mejor. Más superficie para mirar. También vemos el pipeline de fine-tuning si está expuesto.
¿Firman NDA?

Sí. Mandanos el tuyo o usamos el nuestro. Lo firmamos antes de arrancar la auditoría, no en la primera llamada.

08 · reserva

Elegí hora.
El resto lo
manejamos
nosotros.

Cuatro campos. Sin formularios largos. Sin "demos cualificadas". Sin BDR llamando dos veces.

甲賀

Nosotros vigilamos.
Tú decides.

Agendar llamada