GPT-Red genera ataques mediante un proceso de autojuego y los incorpora al entrenamiento de otros modelos. OpenAI afirma que el método redujo los fallos de GPT-5.6 Sol.
OpenAI presentó GPT-Red, un modelo interno diseñado para generar ataques contra otros sistemas de inteligencia artificial y utilizar los fallos encontrados para mejorar su resistencia frente a inyecciones de prompts.
Según la publicación de OpenAI, fechada el 15 de julio de 2026, GPT-Red fue incorporado al entrenamiento de GPT-5.6. La compañía sostiene que GPT-5.6 Sol registra seis veces menos fallos en su prueba interna más exigente de inyección directa de prompts que su mejor modelo de producción de cuatro meses antes.
La cifra procede de evaluaciones realizadas por la propia empresa. OpenAI anunció que publicará un preprint con información técnica adicional, pero ese documento todavía no estaba enlazado al momento de revisar la publicación.
Entrenamiento mediante autojuego
GPT-Red fue entrenado mediante aprendizaje por refuerzo y autojuego. En este proceso, el modelo atacante y un conjunto de modelos defensores evolucionan simultáneamente: el primero recibe una recompensa cuando consigue provocar un fallo válido, mientras que los defensores son recompensados por rechazar el ataque y completar la tarea original.
A medida que los modelos defensores mejoran, GPT-Red debe encontrar ataques más eficaces y variados. Los escenarios de entrenamiento incluyen instrucciones maliciosas insertadas en archivos locales, páginas web, correos electrónicos y respuestas entregadas por herramientas externas.
OpenAI mantiene GPT-Red separado de sus modelos de producción. La empresa explica que esta decisión busca evitar la distribución de las capacidades ofensivas desarrolladas específicamente durante su entrenamiento, transfiriendo a los productos únicamente la resistencia adquirida frente a ellas.
Comparación con ataques creados por personas
Para evaluar su capacidad de generalización, OpenAI utilizó una réplica interna de un entorno de inyecciones indirectas basado en una competencia pública estudiada por Mateusz Dziemian y otros investigadores.
En esa evaluación interna, GPT-Red habría conseguido ataques exitosos en el 84% de los escenarios contra GPT-5.1, frente al 13% alcanzado por participantes humanos. La comparación no forma parte del estudio original y no constituye una validación independiente del desempeño de GPT-Red.
El trabajo disponible en arXiv describe una competencia con 464 participantes, 272.000 intentos de ataque, 13 modelos y 41 escenarios. Sus autores documentaron vulnerabilidades en todos los modelos evaluados y observaron que algunos ataques podían transferirse entre diferentes familias de modelos.
Pruebas con agentes en entornos operativos
OpenAI también empleó GPT-Red contra un agente que administraba una máquina expendedora en sus oficinas. Después de probar ataques en una simulación, el sistema consiguió que el agente desplegado cambiara el precio de productos, ofreciera un artículo de más de 100 dólares por 50 centavos y cancelara el pedido de otro cliente.
La compañía señala que comunicó las vulnerabilidades y que se están probando nuevas medidas de protección. La publicación no entrega una evaluación independiente del sistema ni detalles suficientes para determinar hasta qué punto los resultados pueden generalizarse a otros agentes comerciales.
Otra prueba enfrentó GPT-Red con un agente de Codex basado en GPT-5.4 mini mediante diez escenarios reservados de extracción de datos. OpenAI afirma que el modelo automatizado consiguió vulnerar más escenarios y utilizó menos tokens que una configuración de referencia basada en GPT-5.5.
Resultados comunicados por OpenAI
La empresa sostiene que una variante temprana de GPT-Red descubrió ataques denominados “Fake Chain-of-Thought”, cuya tasa de éxito habría superado el 95% contra GPT-5.1 y descendido a menos del 10% en GPT-5.6 Sol.
En otro conjunto interno de pruebas, OpenAI informa que GPT-5.6 Sol falló ante el 0,05% de las inyecciones directas generadas por GPT-Red. También afirma que el aumento de resistencia no redujo las capacidades generales del modelo ni provocó un incremento indebido de rechazos a solicitudes legítimas.
Estas mediciones dependen de escenarios, configuraciones y criterios definidos por OpenAI. El preprint anunciado será necesario para examinar con mayor precisión la metodología, los modelos de comparación y el alcance de los resultados.
Ilustración generada por IA
📬 Newsletter gratuito









