El sistema interno utiliza aprendizaje por refuerzo para inventar ataques de inyección de instrucciones cada vez más eficaces. OpenAI asegura que sus pruebas ayudaron a reducir de forma considerable las vulnerabilidades de GPT-5.6, aunque los resultados todavía proceden de evaluaciones de la propia empresa.
OpenAI presentó este miércoles GPT-Red, un modelo interno diseñado específicamente para atacar a otros sistemas de inteligencia artificial y encontrar vulnerabilidades antes de que puedan ser explotadas contra usuarios reales. En lugar de responder consultas o realizar tareas productivas, el sistema ensaya instrucciones maliciosas, observa la reacción del modelo atacado y modifica su estrategia hasta conseguir que desobedezca al usuario o ejecute una acción no autorizada.
La empresa incorporó los ataques producidos por GPT-Red al entrenamiento de GPT-5.6, su familia de modelos más reciente. Según OpenAI, este proceso permitió que GPT-5.6 Sol registrara seis veces menos fallas en su evaluación más difícil de inyecciones directas de instrucciones que el mejor modelo disponible cuatro meses antes.
El anuncio describe el procedimiento como una forma de “auto-mejora” aplicada a la seguridad, aunque GPT-Red no modifica por sí mismo los modelos comerciales ni actúa de manera autónoma sobre sus parámetros. La mejora ocurre dentro de un ciclo de entrenamiento controlado por OpenAI: un modelo produce ataques, otros intentan resistirlos y los resultados se convierten en nuevos datos para entrenar a la siguiente generación.
Un atacante entrenado para engañar a la IA
Las inyecciones de instrucciones, conocidas como prompt injections, buscan engañar a un sistema de IA mediante órdenes maliciosas ocultas dentro de páginas web, correos electrónicos, documentos, archivos o respuestas de herramientas. Un agente encargado de revisar el correo de una persona, por ejemplo, podría encontrar un mensaje que le ordenara ignorar la solicitud original, buscar documentos financieros y enviarlos a un servidor externo.
Este tipo de ataque se vuelve más peligroso a medida que los modelos obtienen acceso a navegadores, cuentas conectadas, archivos locales, terminales y sistemas de pago. La amenaza no consiste únicamente en que la IA produzca una respuesta equivocada, sino en que utilice las herramientas que recibió legítimamente para ejecutar una acción que el usuario nunca solicitó.
Hasta ahora, una parte importante de estas pruebas dependía de equipos humanos dedicados a imaginar formas de engañar a los modelos. OpenAI sostiene que ese trabajo sigue siendo indispensable, pero que resulta demasiado lento y costoso para producir la cantidad y diversidad de ataques necesarias para entrenar sistemas de gran escala.
GPT-Red intenta resolver ese cuello de botella mediante una modalidad de aprendizaje por refuerzo llamada autojuego. Durante el entrenamiento, el modelo atacante recibe recompensas cuando consigue provocar una falla válida, mientras que un conjunto de modelos defensores es recompensado por resistir el ataque y completar correctamente la tarea original.
Cuando los defensores aprenden a bloquear una estrategia, GPT-Red debe encontrar ataques más complejos o inesperados para continuar obteniendo recompensas. El resultado es una competencia progresiva en la que ambos lados se vuelven más fuertes, semejante a los métodos utilizados para entrenar sistemas que aprenden a jugar ajedrez, Go u otros entornos competitivos, pero aplicada en este caso a la seguridad informática.
OpenAI afirma que destinó al entrenamiento de GPT-Red una cantidad de capacidad informática comparable con algunas de sus mayores operaciones de posentrenamiento. El sistema permanecerá separado de los modelos públicos, debido a que fue entrenado deliberadamente para desarrollar capacidades maliciosas que podrían ser utilizadas por atacantes.
GPT-Red superó a atacantes humanos
En una evaluación con escenarios que no habían formado parte de su entrenamiento, GPT-Red consiguió engañar a GPT-5.1 en 84% de las situaciones examinadas. Los participantes humanos que intentaron atacar el mismo modelo tuvieron éxito en 13% de los casos, de acuerdo con los resultados reportados por OpenAI.
La empresa también probó el sistema contra agentes que podían ejecutar acciones en entornos cercanos al mundo real. En uno de los experimentos, GPT-Red atacó al agente encargado de administrar una máquina expendedora instalada en una oficina de OpenAI y consiguió reducir a 50 centavos el precio de productos costosos, ordenar un artículo de más de 100 dólares para venderlo por esa cantidad y cancelar el pedido de otro cliente.
En una segunda prueba, GPT-Red atacó un agente de Codex basado en GPT-5.4 mini dentro de diez escenarios preparados para intentar extraer información sensible. OpenAI asegura que el modelo especializado logró robar datos en más situaciones y utilizando menos tokens que un ataque convencional generado mediante instrucciones a GPT-5.5.
Estos ejercicios no muestran únicamente que GPT-Red sea capaz de redactar mensajes engañosos. El modelo puede observar las respuestas y llamadas a herramientas del sistema atacado, evaluar si su intento funcionó y modificar la estrategia hasta encontrar una vía efectiva.
La seguridad como parte del entrenamiento
OpenAI informó que versiones preliminares de GPT-Red se han utilizado para entrenar cada modelo comercial presentado desde GPT-5.3. Una de esas versiones encontró una modalidad de ataque denominada “cadena de pensamiento falsa”, que conseguía engañar a GPT-5.1 en más de 95% de los intentos, pero cuya efectividad cayó por debajo de 10% contra GPT-5.6 Sol.
En otra evaluación, GPT-5.6 Sol falló únicamente ante 0.05% de las inyecciones directas producidas por GPT-Red. OpenAI asegura además que las mejoras no se deben a que el modelo rechace más tareas o haya perdido capacidad, sino a que aprendió a distinguir mejor entre las instrucciones legítimas del usuario y las órdenes maliciosas insertadas por terceros.
La principal novedad del proyecto no es que una inteligencia artificial pueda encontrar vulnerabilidades, una práctica que otras empresas y grupos de investigación también han explorado, sino la escala con la que OpenAI pretende integrar al atacante dentro del ciclo normal de desarrollo. Cada generación de modelos defensores produciría un adversario más exigente, cuyos ataques servirían posteriormente para entrenar a la siguiente generación.
Sin embargo, los resultados difundidos hasta ahora fueron producidos y seleccionados por la propia compañía. OpenAI anunció que publicará un preprint con mayor información técnica durante esta misma semana, por lo que todavía faltan detalles sobre la metodología, los conjuntos de prueba y las posibilidades de reproducción independiente de los experimentos.
GPT-Red tampoco elimina la necesidad de otras barreras de seguridad. OpenAI señaló que seguirá combinando el sistema con pruebas humanas y externas, monitoreo en tiempo real, restricciones de acceso y protecciones colocadas alrededor de los modelos.
La publicación del preprint permitirá evaluar con mayor precisión cuánto aporta GPT-Red frente a las pruebas tradicionales de seguridad y qué tan bien se sostienen sus resultados fuera de los entornos controlados por OpenAI. Por ahora, el proyecto muestra que la empresa está destinando una capacidad de cómputo considerable a automatizar la búsqueda de vulnerabilidades antes del lanzamiento de sus modelos.
