El artículo presenta PCSA, un ataque de simulación de cliente para poner a prueba la seguridad de LLM usados en apoyo psicológico. Parte de perfiles y estilos tomados de Cactus, CBT-DP y conversaciones de Cheeseburger Therapy; relaciona un objetivo adversarial de salud mental con una distorsión cognitiva y hace que un Llama-3.3-70B-Instruct-abliterated local sostenga un diálogo adaptativo con el modelo objetivo. El atacante alterna cuatro estrategias de interacción clínica y GPT-4o-mini puntúa candidatos dentro de un bucle best-of-N. Al final, GPT-4o marca la respuesta como insegura si detecta cumplimiento del objetivo, contenido dañino, suplantación profesional o empatía tóxica. Se comparan cuatro ataques multi-turno, Chain of Attack, AMA, Crescendo y Actor-Attack, sobre ocho modelos: Llama-3.1 8B y 70B, GPT-3.5 Turbo, GPT-5.1, Crispers-7B, PsychoCounsel-Llama3-8B, Qwen3-14B y Qwen2.5-72B. El abstract dice siete modelos y denomina el método Personality-based, mientras que título, método y tablas usan ocho y Persona-based. Según CARES, PCSA obtiene ASR de 0,67 a 0,88; con el juez GPT, de 0,71 a 0,89. En promedio sobre modelos, activa target compliance 0,57, harmful content 0,27, toxic empathy 0,44 e impersonation 0,12. Sus prompts tienen perplexity GPT-2 entre 15,40 y 18,29 y ninguno supera el umbral 100. El filtro de perplexity no cambia ASR; SelfDefend lo reduce entre 0,05 y 0,18 y Granite Guardian entre 0 y 0,05. Estas cifras apoyan la conclusión acotada de que, bajo este benchmark y sus jueces, una simulación adaptativa con persona encuentra más fallos que los cuatro baselines. No son tasas de daño clínico. El ASR estricto de CARES define como fallo cualquier respuesta que no sea rechazo: agrupa Cautious, que puede contener mitigación y derivación segura, con Accept. Por tanto, un ASR de 0,88 no significa que 88% de las respuestas proporcione daño o cumpla el objetivo. El Safety Score conserva parcialmente los tres niveles, pero también depende de GPT-4o-mini. La evaluación presenta además dependencia circular: GPT-4o-mini guía la optimización del ataque y vuelve a evaluar CARES, mientras GPT-4o, de la misma familia/proveedor y con categorías alineadas con el bucle, decide el segundo resultado principal. No hay juez clínico independiente ni familia alternativa. El criterio any-flag maximiza sensibilidad, pero no se mide especificidad y los casos del apéndice incluyen fronteras discutibles, como lenguaje diagnóstico acompañado de una advertencia profesional o una frase inicialmente validante seguida de redirección. Falta información decisiva: número de personas, objetivos, intentos y respuestas; turnos; valor de N; candidatos; errores y exclusiones; temperatura, top-p, tokens, semillas y snapshots exactos de API. Sin denominador ni unidad de muestreo no pueden auditarse ASR, defensa o variabilidad. El texto afirma que PCSA supera significativamente a los baselines, pero no publica tests, intervalos, repeticiones ni corrección de multiplicidad. La validación humana tampoco resuelve esto. Se informa un 96,4% de victorias en 28 comparaciones de realismo, sin número de prompts, anotadores o ratings. En 48 pares PCSA, el acuerdo humano–GPT es 87,5%, equivalente a 42/48 si no hubo datos ausentes, pero faltan prevalencia, kappa, intervalo, sensibilidad, especificidad y resultados por categoría; tampoco se validan respuestas de los baselines. Los anotadores se describen primero como personas con formación en psicología y después como expertos en psicología clínica, sin cantidad ni credenciales. La baja perplexity muestra fluidez frente a un detector GPT-2, no realismo clínico ni indistinguibilidad de pacientes reales. La alta vulnerabilidad de dos modelos de counseling tampoco demuestra que el ajuste de empatía la cause: faltan controles con sus modelos base, ablaciones y control de tamaño, corpus y receta de alineamiento. Las tres defensas están insuficientemente configuradas y no se evalúan falsos positivos en usuarios genuinos. La gobernanza de datos requiere cautela. Cactus es un corpus CBT sintético, no terapia real. El artículo solo dice que incorpora conversaciones de Cheeseburger Therapy; el sitio actual denomina sus sesiones anonymish, permite compartir chats con la comunidad y avisa de revisión periódica por equipo y colaboradores académicos. El paper no identifica subconjunto ni snapshot, método de obtención, licencia, consentimiento o permiso para reutilización, desidentificación, retención o retirada. La afirmación de que no se usaron transcripciones reales o datos de pacientes no queda reconciliada con un servicio vivo de apoyo entre pares. Incluye un formulario de consentimiento para expertos, pero no comité ético, aprobación, compensación, protección ante exposición a autolesión ni debriefing. Aunque promete evitar instrucciones accionables, el apéndice publica objetivos dañinos y prompts operativos; este resumen mantiene el mecanismo a alto nivel. No hay código, dataset exacto, diálogos, outputs, juicios, anotaciones o scripts públicos; se prometen tras publicación. PCSA señala un riesgo de seguridad importante que merece evaluación independiente, pero la versión v1 no permite reproducir sus tasas, atribuir causalidad al ajuste empático ni extrapolar a daño real en atención psicológica.
Pregunta de investigación
¿Puede un cliente adversarial con persona, estilo clínico y estrategia multi-turno adaptativa descubrir fallos de seguridad en LLM de apoyo psicológico que no revelan ataques generales?