Exponiendo la Vulnerabilidad Sistemática de los Modelos de Pesos Abiertos a los Ataques de Prellenado
Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks
February 16, 2026
Autores: Lukas Struppek, Adam Gleave, Kellin Pelrine
cs.AI
Resumen
A medida que avanzan las capacidades de los grandes modelos de lenguaje, también lo hace su potencial de uso indebido. Mientras que los modelos de código cerrado suelen depender de defensas externas, los modelos de pesos abiertos deben depender principalmente de salvaguardas internas para mitigar comportamientos dañinos. Investigaciones previas de equipos rojos se han centrado en gran medida en la manipulación basada en entradas y a nivel de parámetros. Sin embargo, los modelos de pesos abiertos también admiten de forma nativa el "prellenado" (prefilling), lo que permite a un atacante predefinir los tokens de respuesta inicial antes de que comience la generación. A pesar de su potencial, este vector de ataque ha recibido poca atención sistemática. Presentamos el mayor estudio empírico hasta la fecha sobre ataques de prellenado, evaluando más de 20 estrategias, tanto existentes como novedosas, en múltiples familias de modelos y en los modelos de pesos abiertos más avanzados. Nuestros resultados muestran que los ataques de prellenado son consistentemente efectivos contra todos los principales modelos de pesos abiertos contemporáneos, revelando una vulnerabilidad crítica y previamente poco explorada con implicaciones significativas para su despliegue. Si bien ciertos modelos de razonamiento a gran escala muestran cierta robustez contra estrategias genéricas de prellenado, siguen siendo vulnerables a estrategias específicas y personalizadas para cada modelo. Nuestros hallazgos subrayan la necesidad urgente de que los desarrolladores de modelos prioricen las defensas contra los ataques de prellenado en los LLM de pesos abiertos.
English
As the capabilities of large language models continue to advance, so does their potential for misuse. While closed-source models typically rely on external defenses, open-weight models must primarily depend on internal safeguards to mitigate harmful behavior. Prior red-teaming research has largely focused on input-based jailbreaking and parameter-level manipulations. However, open-weight models also natively support prefilling, which allows an attacker to predefine initial response tokens before generation begins. Despite its potential, this attack vector has received little systematic attention. We present the largest empirical study to date of prefill attacks, evaluating over 20 existing and novel strategies across multiple model families and state-of-the-art open-weight models. Our results show that prefill attacks are consistently effective against all major contemporary open-weight models, revealing a critical and previously underexplored vulnerability with significant implications for deployment. While certain large reasoning models exhibit some robustness against generic prefilling, they remain vulnerable to tailored, model-specific strategies. Our findings underscore the urgent need for model developers to prioritize defenses against prefill attacks in open-weight LLMs.