Herramientas de defensa contra inyección de prompts

Un artículo reciente de Softonic señaló un momento de fuego amigo para la seguridad de IA: un equipo de investigación demostró que los agentes autónomos presentados como defensores pueden ser engañados para lanzar ataques. La superficie de ataque es la inyección de prompts, y el objetivo es cualquier sistema que permita que la salida del modelo tome decisiones sobre herramientas, archivos o la red. Las mejores aplicaciones para defensa contra inyección de prompts en escritorio tratan esa superficie como primera prioridad: nos permiten hacer red teaming de nuestros propios prompts, filtrar entradas no confiables antes de que lleguen a un modelo y proteger llamadas de herramientas en el momento en que salen del agente.

Probamos siete aplicaciones y librerías en Windows, macOS y Linux para defensa contra inyección de prompts en 2026. Algunas son suites de pruebas (red team de nuestros prompts contra cargas de inyección conocidas), algunas son guardrails de tiempo de ejecución (filtran entradas y salidas en tiempo de solicitud), algunas son motores de políticas (permiten o deniegan llamadas de herramientas). Elige según dónde en el pipeline de LLM necesite sentarse la defensa.

Qué buscar en una aplicación de defensa contra inyección de prompts

La defensa contra inyección de prompts es más compleja que un filtro de spam. Las aplicaciones que lo hacen bien comparten algunas propiedades:

Comparación rápida

AplicaciónMejor paraPlataformasPlan gratuitoPrecio inicial/mesValoración
PromptfooEvaluación de prompts y red teaming CLIWindows, macOS, LinuxCompletamente gratuito, código abiertoSoporte empresarialTop tier en GitHub
GarakEscáner de vulnerabilidades LLM de NVIDIAWindows, macOS, LinuxCompletamente gratuito, código abiertoGratuitoRespaldado por NVIDIA
RebuffDetector de inyección de prompts multicapaWindows, macOS, LinuxCompletamente gratuito, código abiertoGratuitoComunidad
Lakera GuardGuardrail gestionado con clasificador de inyección de promptsAPI + SDKsNivel gratuitoSuscripción anual modesta4.7 / 5
NeMo GuardrailsDSL de guardrails programables de NVIDIAWindows, macOS, LinuxCompletamente gratuito, código abiertoGratuitoRespaldado por NVIDIA
PyRITHerramienta de identificación de riesgos Python de MicrosoftWindows, macOS, LinuxCompletamente gratuito, código abiertoGratuitoRespaldado por Microsoft
LLM GuardEscáner de entrada y salida de código abiertoWindows, macOS, LinuxCompletamente gratuito, código abiertoSoporte empresarialProyecto Protect AI

El endpoint de Moderación de OpenAI se incluye en la guía de selección como referencia para equipos ya en el stack de OpenAI.

Las aplicaciones

1. Promptfoo

Promptfoo es la opción para un equipo orientado al código que quiere hacer red teaming de prompts como parte de CI. El CLI ejecuta un prompt a través de cientos de cargas adversariales, califica las salidas contra aserciones que escribimos e informa qué categoría de ataque (jailbreak, inyección, fuga de PII, exfiltración de datos) fue exitosa. Los lanzamientos de 2026 añadieron un preset OWASP LLM Top 10 que convierte “ejecutar cada carga conocida mala una vez por noche” en un trabajo de un comando.

Dónde se queda corto: es una herramienta de pruebas. Promptfoo no se sienta en la ruta de solicitud en tiempo de ejecución; nos dice en CI qué prompts se rompen. Empareja con un guardrail de tiempo de ejecución.

Precios:

Plataformas: Windows, macOS, Linux, Docker

Descarga: Promptfoo

Conclusión: el punto de partida sensato para un equipo que quiere red teaming de prompts en CI.

2. Garak

Garak es el escáner de vulnerabilidades LLM de NVIDIA, y su alcance es más amplio que el de Promptfoo. Ejecuta una taxonomía de sondas (goodside, dan, promptinject, encoding, malwaregen, xss) contra un modelo e informa qué sondas tuvieron éxito. Para cualquiera que pruebe un modelo de código abierto autohospedado contra una batería de ataques conocidos, es la herramienta de referencia en 2026.

Dónde se queda corto: los escaneos tardan un tiempo en ejecutarse. Algunas sondas son más ruidosas que otras y necesitan ajuste para adaptarse a nuestro modelo de amenaza.

Precios:

Plataformas: Windows, macOS, Linux

Descarga: Garak

Conclusión: la opción para endurecimiento de un modelo autohospedado contra todas las categorías conocidas de ataques.

3. Rebuff

Rebuff es un detector de inyección de prompts multicapa: un filtro heurístico, una búsqueda en almacén de vectores contra cargas conocidas como malas, un clasificador basado en LLM y un detector de token canario que detecta cuando se ha dicho a un modelo que filtre un secreto. El rendimiento en tiempo de ejecución es lo suficientemente rápido para aplicaciones interactivas, y cada capa es opcional para que podamos ajustar la tolerancia a falsos positivos.

Dónde se queda corto: el almacén de vectores necesita ser sembrado con nuestras propias cargas conocidas como malas para ser útil; el conjunto incluido cubre inyecciones comunes pero no ataques específicos del dominio. Algunas capas dependen de una llamada LLM, que añade latencia.

Precios:

Plataformas: Python, TypeScript, se ejecuta en cualquier lugar donde lo hagan Node o Python

Descarga: Rebuff

Conclusión: la opción para filtrado de inyección de prompts en tiempo de ejecución con un diseño multicapa maduro.

4. Lakera Guard

Lakera Guard es el guardrail gestionado de un equipo suizo que ha estado en defensa contra inyección de prompts desde 2022. La API se sienta delante de la llamada del modelo, clasifica la entrada del usuario y la salida del modelo para inyecciones, fugas de PII y violaciones de políticas, y devuelve un veredicto en decenas de milisegundos. El Playground en su sitio nos permite probar cargas contra el clasificador actual de forma interactiva.

Dónde se queda corto: es una API hospedada. Los equipos regulados necesitan verificar la SKU de residencia de datos. Los precios son por solicitud en lugar de por asiento.

Precios:

Plataformas: API + SDKs para Python, JavaScript y Ruby

Descarga: Lakera Guard

Conclusión: la opción para un guardrail de API de producción sin mantener nuestro propio clasificador.

5. NeMo Guardrails

NeMo Guardrails es el DSL de guardrails programables de NVIDIA, y es la librería de cumplimiento en tiempo de ejecución de código abierto más flexible de la lista. Las reglas se definen en un script Colang que dice qué temas están permitidos, qué herramientas están permitidas y cuál es la respuesta de fallback cuando una verificación falla. Porque el DSL es programable, NeMo puede expresar políticas que un clasificador no puede — “el asistente solo puede llamar a la herramienta SQL cuando el usuario está autenticado” — limpiamente.

Dónde se queda corto: Colang es un nuevo DSL y la curva de aprendizaje es real. Los guardrails muy simples son más fáciles de escribir con Rebuff o Lakera.

Precios:

Plataformas: Python, se ejecuta en cualquier lugar donde lo haga Python

Descarga: NeMo Guardrails

Conclusión: la opción para equipos que necesitan expresión de políticas más allá de lo que un clasificador puede ofrecer.

6. PyRIT

PyRIT es la herramienta de identificación de riesgos Python de Microsoft para LLMs, y es lo más cercano a un kit de herramientas de seguridad ofensiva completo para sistemas de IA. Ejecuta prompts adversariales, rastrea conversaciones en múltiples turnos y evalúa la salida del modelo contra scoring personalizado. El público objetivo del framework son equipos rojos y azules dentro de organizaciones más grandes; las abstracciones reflejan eso.

Dónde se queda corto: el framework es más pesado que un script simple de prueba de penetración. Los equipos pequeños pueden encontrar Promptfoo o Garak más fáciles de usar.

Precios:

Plataformas: Windows, macOS, Linux

Descarga: PyRIT

Conclusión: la opción para un equipo rojo que ejecuta ataques estructurados de múltiples turnos contra sistemas respaldados por LLM.

7. LLM Guard

LLM Guard de Protect AI es un escáner de entrada y salida de código abierto enfocado en prevención de pérdida de datos junto con defensa contra inyección de prompts. Incluye escáneres para PII, secretos, inyección de prompts, sesgo y toxicidad, y los ejecuta en tiempo de solicitud tanto en la entrada del usuario como en la salida del modelo. Para equipos cuya principal preocupación es “el modelo acaba de citar una clave API de vuelta al usuario”, LLM Guard es el especialista.

Dónde se queda corto: el modelo de escáner de entrada-salida añade latencia en cada solicitud. Ajustar qué escáneres se ejecutan en qué orden importa para el rendimiento.

Precios:

Plataformas: Python, se ejecuta en cualquier lugar donde lo haga Python

Descarga: LLM Guard

Conclusión: la opción cuando la fuga de PII y secretos es tan preocupante como la inyección misma.

Cómo elegir la aplicación correcta de defensa contra inyección de prompts

El stack más fuerte de 2026 para un equipo pequeño es Promptfoo en CI más Rebuff o Lakera Guard en tiempo de ejecución más un escaneo Garak programado contra el modelo en producción. Esa combinación detecta cargas conocidas como malas antes del despliegue, filtra desconocidas en tiempo de solicitud y reescanea el modelo desplegado según un cronograma.

Preguntas frecuentes

¿Qué es la inyección de prompts? La inyección de prompts es la clase de ataque donde una entrada no confiable (un mensaje de usuario, un documento, una página web raspada) contiene instrucciones que redirigen el modelo contra su propósito previsto. La inyección directa es cuando el usuario escribe el ataque. La inyección indirecta es cuando el modelo lee un ataque de un documento o página web que se le dijo que resumiera. Ambas están en el OWASP LLM Top 10.

¿Se puede prevenir completamente la inyección de prompts? No. La inyección de prompts es un problema nativo del modelo de lenguaje y no hay defensa perfecta conocida. Las defensas en capas (red teaming en tiempo de prueba, clasificadores en tiempo de ejecución, políticas de llamadas de herramientas, tokens canario, moderación de salida) reducen el riesgo a un nivel aceptable para un despliegue específico. Cualquiera que afirme prevenir toda inyección de prompts con una herramienta está simplificando demasiado.

¿Cuál es la mejor defensa de código abierto contra inyección de prompts? Para filtrado en tiempo de ejecución, Rebuff y LLM Guard son las opciones de código abierto más completas. Para política programable, NeMo Guardrails. Para pruebas, Promptfoo y Garak.

¿El endpoint de Moderación de OpenAI detecta inyección de prompts? Parcialmente. El endpoint de Moderación está diseñado para categorías de contenido (acoso, autolesión, violencia) más que para inyección específicamente. Un clasificador dedicado de inyección de prompts (Rebuff, Lakera Guard, LLM Guard) detecta ataques que Moderación pasa por alto.

¿Cómo añado defensa contra inyección de prompts a un agente LangGraph o CrewAI? Envuelve llamadas de herramientas en un paso de guardrail que ejecuta LLM Guard o Rebuff en la acción propuesta del modelo, y pausa a través de la interrupción de LangGraph o la puerta de aprobación de CrewAI cuando el guardrail marca la llamada. Promptfoo puede ejecutar la misma cadena de guardrail en CI contra una batería de cargas adversariales.

¿Estas herramientas son gratuitas para usar comercialmente? Promptfoo, Garak, Rebuff, NeMo Guardrails, PyRIT y LLM Guard son código abierto con licencias permisivas que permiten uso comercial. Lakera Guard es un servicio gestionado de pago con un nivel gratuito para cargas de trabajo pequeñas.