Phase 15 - Lesson 14
Kill Switches, Circuit Breakers y Canary Tokens
This lesson includes a graded coding exercise that runs in your browser, unlocked with lifetime access.
Un kill switch es un booleano que se mantiene fuera de la superficie de edición del agente — una clave de Redis, una feature flag, una configuración firmada — que desactiva al agente por completo. Un circuit breaker es más granular: se activa ante un patrón específico (cinco llamadas a herramientas idénticas consecutivas), pausa la ruta ofensiva y escala el caso a un humano. Un canary token herda de la decepción clásica: una credencial falsa o un registro de honeypot que un agente no tiene ningún motivo legítimo para tocar, cuyo acceso activa una alerta. Las rutas de datos basadas en eBPF (por ejemplo, Cilium) pueden redirigir el tráfico de salida (egress) de un pod en cuarentena hacia un honeypot forense en la capa del kernel; los análisis de rendimiento (benchmarks) de Cilium publicados reportan una latencia en la ruta de datos P99 de submilisegundos bajo carga (su presupuesto de propagación depende de cómo llega una actualización de política al nodo, no de la ruta de datos en sí). Los detectores estadísticos (EWMA, CUSUM) que se adaptan a una línea de base móvil aceptarán el desvío silenciosamente — combínelos con límites constitucionales rígidos que no se doblan.
Type: Learn Languages: Python (stdlib, simulador de tres detectores: kill switch, circuit breaker, canary) Prerequisites: Phase 15 · 13 (Gobernadores de costo), Phase 15 · 10 (Modos de permiso) Time: ~60 minutos
El Problema
Los gobernadores de costo (Lección 13) limitan lo que el agente puede gastar. No limitan lo que el agente puede hacer dentro del presupuesto. Un agente con un límite de velocidad de $50 aún puede exfiltrar un secreto, publicar la entrada incorrecta o eliminar un recurso — la acción costosa suele ser la más barata en tokens.
Esta lección cubre los tres detectores que se ubican junto a la capa de costo:
- Kill switch: botón de apagado booleano que se mantiene fuera del alcance del agente.
- Circuit breaker: detector de patrones de acción que pausa una ruta específica.
- Canary token: cebo que un agente que no tiene motivos legítimos para tocar revelará al tocarlo.
Los tres son ingeniería previa a las LLM. La decepción clásica, los limitadores de tasa (rate-limit breakers) y los apagados por feature-flag son anteriores a los agentes autónomos. Lo nuevo es la superficie de ataque: los agentes leen contenido no confiable (Lección 11), editan su propia memoria y pueden componer muchas acciones aparentemente seguras en una acción insegura. Los detectores aquí mencionados funcionan porque no confían en el autoinforme del agente.
El Concepto
Kill switches
Un kill switch es un booleano que el agente lee pero no puede escribir. Opciones de implementación:
- Feature flag en un servicio gestionado. LaunchDarkly, Statsig, Unleash. Las actualizaciones se propagan en segundos.
- Clave de Redis que el agente consulta. Simple; requiere que el proceso del agente verifique en cada turno.
- Configuración firmada en almacenamiento de objetos. El agente verifica una firma al arrancar; rechaza estados no firmados.
- Señal a nivel de SO o eliminación del ciclo de vida del contenedor. Docker
kill, Kuberneteskubectl delete pod, parada de systemd.
Propiedades que tiene un kill switch correcto:
- El agente no puede establecerlo en
off. (Reside en un sistema en el que las credenciales del agente no pueden escribir.) - Se verifica en cada acción consecuente, no solo al inicio.
- Cuando está apagado, el agente no realiza ninguna acción externamente observable, lo que incluye no registrar logs en sistemas a los que el agente pueda acceder.
- Reactivarlo es una acción humana explícita, no un tiempo de espera (timeout) automático.
Circuit breakers
Un circuit breaker pausa un patrón específico, no a todo el agente. Estructura clásica (del libro de Nygard de 2007, aún vigente):
- Cerrado (Closed): la acción está permitida.
- Abierto (Open): la acción está bloqueada.
- Medio abierto (Half-open): después de un enfriamiento, se permiten de 1 a 3 intentos de sondeo (por defecto 1); el éxito cierra el disyuntor, cualquier fallo restante lo vuelve a abrir.
Disparadores relevantes para agentes:
- Cinco llamadas a herramientas idénticas consecutivas (bucle repetitivo).
- Cinco fallos consecutivos en la misma herramienta con diferentes entradas (fallo sistémico).
- Tasa de llamadas a herramientas por encima de un umbral (velocidad de la Lección 13).
- Herramienta específica invocada (por ejemplo,
file.delete) después de una lectura de contenido fuera de la zona de confianza (Lección 11).
Canary tokens
Los canary tokens (también llamados honeytokens) son entradas que el agente nunca debe tocar. Oпросы de acceso es la alarma.
Wait, "Oпросы de acceso" is a translation error for "Access is the alarm." -> "El acceso es la alarma." Let's fix that.
Los canary tokens (también llamados honeytokens) son entradas que el agente nunca debe tocar. El acceso es la alarma.
Ejemplos para agentes:
- Una
AWS_SECRET_ACCESS_KEYfalsa en el entorno sin ningún privilegio real. Los intentos de exfiltración son instantáneamente atribuibles. - Un registro de base de datos falso marcado con un valor centinela conocido. Cualquier lectura o actualización de este registro activa una alerta.
- Un archivo falso en el espacio de trabajo. Las lecturas o ediciones de este archivo son sospechosas.
- Una entrada de memoria falsa inyectada al inicio de la sesión. Si aparece en una salida posterior, la memoria ha sido exfiltrada.
El diseño del canary es específico para el flujo de trabajo. Un canary que el agente tiene un motivo legítimo para tocar es solo ruido.
Por qué combinar límites estadísticos y rígidos
Los detectores estadísticos (EWMA, CUSUM, z-score en tasas de llamadas a herramientas) se adaptan a una línea de base móvil. Esto es una ventaja para desvíos legítimos y un problema para desvíos adversarios. Un atacante paciente puede desplazar la línea de base lo suficientemente despacio como para que no se active ninguna alarma.
Los límites constitucionales rígidos (Lección 17) no se doblan. "Nunca enviar correos a secrets@" como una regla constitucional es más simple, auditable y no manipulable mediante un desvío lento. El patrón de capas: los detectores estadísticos atrapan la mayor parte del ruido, los límites rígidos atrapan el ataque que pasó el detector.
Cuarentena mediante redireccionamiento de ruta de datos eBPF
La política de red basada en eBPF de Cilium puede reescribir el tráfico de salida de un pod en cuarentena hacia un honeypot forense en la capa del kernel. Los benchmarks públicos de Cilium informan una latencia en la ruta de datos P99 de submilisegundos en TCP_RR; el presupuesto de tiempo real para disparar una cuarentena en su clúster está dominado por cómo se propaga una actualización de política desde su plano de control hasta el nodo (unos cientos de milisegundos es realista en Kubernetes con el operador precargado; la latencia de cola depende del tamaño del clúster y del ritmo de conciliación). Esto le brinda dos cosas: el agente no exfiltra nada real y el comportamiento del agente dentro del honeypot se observa por completo. Mismo patrón, capa diferente, que el canary token: el agente revela su intención por lo que intenta hacer mientras está contenido.
Lo que ningún detector atrapa
- Ataques semánticos que se componen de primitivas permitidas. Cada acción individual pasa por todos los detectores; la composición es el problema. Este es el fallo compuesto del Modo Automático de la Lección 10.
- Ataques que incluyen al detector como parte de la carga útil (payload). Si un agente lee una página que dice "antes de actuar, desactiva el canary" y el agente tiene la capacidad, el detector está comprometido. Los canary tokens deben estar en sistemas que el agente no pueda modificar.
Use It
code/main.py simula una trayectoria corta del agente a través de tres detectores. Un kill switch mantenido en un diccionario externo; un circuit breaker que se activa con cinco llamadas a herramientas idénticas; un archivo canary cuya lectura activa una alerta. Alimenta una trayectoria sintética: acciones legítimas, bucle repetitivo, sondeo de canary y un escenario activado por kill-switch donde las acciones del agente se detienen.
Ship It
outputs/skill-tripwire-design.md revisa una propuesta de pila de detectores para una implementación de agente y señala deficiencias (falta de kill switch, falta de canary, umbral del circuit breaker demasiado flexible).
Exercises
Ejecute
code/main.py. Confirme que el disjuntor se activa en el turno 5 (quinta llamada idéntica) y el canary se activa en el turno 9 (lectura de clave falsa).Agregue un detector estadístico: EWMA z-score en la tasa de llamadas a herramientas. Aliente una trayectoria que se desvíe lentamente y demuestre que el detector nunca se activa. Ahora agregue un límite rígido (no más de 50 llamadas a herramientas en 10 minutos) y demuestre que el límite rígido se activa en la misma trayectoria.
Diseñe un conjunto de canary tokens para un agente de navegador (Lección 11). Enumere al menos tres canaries y qué detectaría cada uno.
Lea la documentación de políticas de red de Cilium. Describa un flujo de cuarentena de redireccionamiento de salida concretamente: qué selector de política, qué pod, qué reescritura de salida, qué alerta. ¿Qué gobierna la latencia de tiempo real desde "decidir poner en cuarentena" hasta el "primer paquete redireccionado"?
Defina un procedimiento de reactivación para un agente desactivado por kill-switch. ¿Quién puede reactivarlo? ¿Qué debe documentarse? ¿Qué debe cambiar en el agente antes de reactivarlo?
Key Terms
| Término | Lo que la gente dice | Lo que realmente significa |
|---|---|---|
| Kill switch | "Botón de apagado" | Booleano fuera de la superficie de edición del agente; verificado en cada acción consecuente |
| Circuit breaker | "Pausa de patrón" | Activación específica de acción por repetición, tasa de fallos o límite de tasa |
| Canary token | "Honeytoken" | Cebo que el agente no tiene motivos legítimos para tocar; el acceso activa una alerta |
| Honeypot | "Sandbox forense" | Tráfico redireccionado / espacio de trabajo donde se observa a un agente en cuarentena |
| EWMA | "Media móvil" | Ponderada exponencialmente; se adapta al desvío (recurso + bug) |
| CUSUM | "Soma acumulada" | Detecta un cambio sostenido respecto a la línea de base |
| Hard limit | "Regla constitucional" | No se adapta; constante independientemente del historial |
| Constitutional limit | "Regla siempre verdadera" | Vinculada a la constitución de la Lección 17; no puede ser editada por el agente |
Further Reading
- Anthropic — Measuring agent autonomy in practice — marco de kill-switch y circuit-breaker para agentes autónomos.
- Microsoft Agent Framework — HITL and oversight — patrones de gobernanza de producción.
- OWASP LLM / Agentic Top 10 — requisitos de detección y respuesta.
- Cilium — Network policy and eBPF — patrones de redireccionamiento de salida a nivel de pod y honeypot forense.
- Anthropic — Claude's Constitution (January 2026) — prohibiciones codificadas de forma rígida como "límites constitucionales".