La noticia útil de MosaicLeaks, publicado por ServiceNow en Hugging Face el 18 de junio de 2026, no es otro benchmark para presumir un score. Es una advertencia concreta para equipos que ya conectan agentes de research a documentos internos y búsqueda web: el agente puede filtrar información privada sin pegar un secreto completo en la consulta.

El fallo aparece por acumulación. Una búsqueda aislada puede parecer normal. Pero una secuencia de consultas que nace de documentos privados puede revelar intención, respuestas parciales o hechos internos cuando alguien observa el log completo de queries.

Mapa editorial de consultas web que individualmente parecen normales, pero juntas revelan un dato privado por efecto mosaico

Qué mide MosaicLeaks

El paper define un entorno controlado con 1,001 cadenas multi-hop que mezclan documentos empresariales sintéticos y un corpus web fijo. El adversario no ve los documentos privados ni el razonamiento del agente. Solo ve las consultas externas que el agente emite mientras intenta resolver la tarea.

Eso cambia la discusión de seguridad. El problema no es solo “no subas el PDF privado al modelo”. El problema es que el agente puede usar fragmentos de ese PDF para formar mejores búsquedas, y esas búsquedas terminan saliendo hacia servicios externos.

MosaicLeaks mide tres niveles:

intent leakage: el log permite inferir qué estaba investigando el agente;
answer leakage: el log ayuda a contestar preguntas privadas;
full-information leakage: el observador puede reconstruir afirmaciones privadas verificables sin recibir la pregunta original.

La parte incómoda: mejorar la tarea puede empeorar la privacidad

El resultado más importante para builders es el tradeoff. Según el reporte, entrenar solo para resolver mejor la tarea subió el éxito estricto de cadena, pero también aumentó la fuga de información. El agente aprendió a meter más contexto en sus búsquedas web, justo lo que mejora retrieval y empeora privacidad.

La propuesta de ServiceNow, Privacy-Aware Deep Research (PA-DR), intenta optimizar ambas cosas. En el ejemplo reportado para Qwen3-4B, PA-DR mantiene casi toda la mejora de task success y baja la fuga de respuesta o información completa de 34.0% a 9.9% frente al modelo base.

Qué haría antes de usar deep research con datos internos

No confiaría en una línea de prompt tipo “no filtres secretos”. El propio estudio muestra que el prompting ayuda de forma inconsistente y puede bajar performance. En producción pondría controles más aburridos:

separar fuentes internas y externas por etapa;
registrar las queries externas como dato sensible;
borrar métricas, nombres de clientes y fechas específicas antes de buscar;
evaluar privacidad a nivel de secuencia, no solo por query;
revisar si el agente necesita web abierta o basta un índice curado.

Flujo editorial con redacción de queries, control de privacidad y revisión antes de enviar búsquedas externas desde un agente

Por qué Agente IA puede competir en este tema

La intención de búsqueda es clara: MosaicLeaks, deep research agent privacy, research agent secret leakage, agentes de investigación privacidad. No hay volumen SEO conectado en esta corrida; la demanda se infiere por publicación reciente en Hugging Face, paper en arXiv y el crecimiento de agentes que combinan documentos privados con web retrieval.

La cobertura genérica se va a quedar en “los agentes filtran secretos”. El ángulo útil para builders de Latinoamérica es más específico: si tu agente busca en internet con contexto derivado de datos privados, el log de búsqueda ya es superficie de fuga.

Si todavía estás construyendo la base de herramientas y permisos, empieza por el curso gratis. La lectura práctica: antes de habilitar deep research sobre Drive, Slack, Notion o tickets internos, trata cada query externa como una salida de datos que necesita política, auditoría y pruebas.