OpenAI presenta GPT-Red: el atacante de IA interno que fortalece GPT-5.6 contra prompt injection
El 16 de julio de 2026, OpenAI reveló GPT-Red, un modelo interno de IA entrenado específicamente para atacar los propios modelos de OpenAI, exponer sus vulnerabilidades y generar datos adversariales que se usan para fortalecer los modelos de producción. Es, en esencia, un red-teamer automatizado que encuentra fallos de seguridad antes de que los exploten actores maliciosos.
El sistema ya ha influido en los modelos de producción: GPT-5.6 Sol resiste el 99.95% de los ataques de prompt injection directa de GPT-Red, y los "Fake Chain-of-Thought" attacks que funcionaban el 95% del tiempo contra GPT-5.1 ahora tienen una tasa de éxito inferior al 10% contra GPT-5.6 Sol.
Qué es GPT-Red
GPT-Red es un modelo de IA que funciona como atacante automatizado. No es un chatbot público: es un sistema interno que:
- Envía repetidamente instrucciones maliciosas o engañosas a los modelos objetivo
- Observa las respuestas y ajusta su estrategia
- Continúa hasta que tiene éxito o agota las rutas de ataque
- Genera datos adversariales que se usan para entrenar modelos más resistentes
El enfoque principal de GPT-Red son los ataques de prompt injection, un problema de seguridad creciente para agentes de IA que interactúan con emails, websites, archivos, repositorios de código y aplicaciones conectadas.
Cómo se entrenó GPT-Red
GPT-Red fue entrenado usando:
- Self-play — el modelo juega contra sí mismo atacando y defendiendo
- Un conjunto amplio de entornos de robustez que reflejan escenarios reales donde un modelo puede encontrar contenido malicioso en archivos locales, páginas web o fuentes de terceros
- Reinforcement learning optimizado para encontrar vulnerabilidades, no para ser útil
Resultados: el impacto en GPT-5.6
Prompt injection directa
| Métrica | Resultado |
|---|---|
| Fallos de GPT-5.6 Sol en benchmark más difícil | 6x menos que el modelo líder de hace 4 meses |
| Tasa de éxito de GPT-Red en prompt injection directa | 0.05% (99.95% de resistencia) |
| Accuracy en tests de developer tools y browsing | >97% en el modelo más reciente |
Fake Chain-of-Thought attacks
Una categoría de ataque que OpenAI bautizó como "Fake Chain-of-Thought":
| Modelo | Tasa de éxito del ataque |
|---|---|
| GPT-5.1 | >95% |
| GPT-5.6 Sol | <10% |
GPT-Red vs humanos red-teamers
En una evaluación replicada de prompt injection indirecta (basada en trabajo de Dziemman y otros):
| Atacante | Tasa de éxito |
|---|---|
| GPT-Red | 84% |
| Humanos red-teamers | 13% |
GPT-Red es 6.5x más efectivo que los humanos encontrando vulnerabilidades de prompt injection.
Ataques a sistemas agénticos reales
1. Máquina expendedora de IA (Andon Labs)
OpenAI usó GPT-Red contra una máquina expendedora potenciada por IA en sus oficinas, construida por Andon Labs. GPT-Red:
- Testeó ataques primero en un entorno de simulación
- Luego transfirió los ataques al sistema real
- Logró tres objetivos:
- Bajar el precio de un item caro a $0.50
- Crear un item nuevo >$100 y ofrecerlo a $0.50
- Cancelar el pedido de otro cliente
OpenAI dice que reveló estas vulnerabilidades y que se están probando safeguards.
2. Codex CLI agent (GPT-5.4 Mini)
GPT-Red fue usado contra un agente Codex CLI basado en GPT-5.4 Mini en 10 escenarios de exfiltración de datos. GPT-Red superó a un baseline de GPT-5.5 con prompts en éxito de ataque y uso de tokens.
Por qué GPT-Red no se publica
GPT-Red se mantiene separado de los modelos públicos. La razón es clara: el sistema tiene comportamientos maliciosos deliberadamente entrenados. Si se publicara, cualquiera podría usar esas capacidades para atacar sistemas de IA.
La estrategia de OpenAI es:
- Retener el atacante internamente
- Transferir el conocimiento defensivo a los modelos de producción
- Prevenir que las capacidades maliciosas sean accesibles para adversarios externos
Historial: automated red-teaming desde GPT-5.3
OpenAI ha usado versiones anteriores de red-teamers automatizados en lanzamientos sucesivos desde GPT-5.3. En ese período:
- Cada release se ha vuelto más resistente a los ataques generados por esos sistemas
- El proceso es iterativo: cada modelo se entrena contra los ataques del red-teamer anterior
- GPT-Red es la versión más completa y efectiva hasta la fecha
El problema del over-refusal
Una pregunta central del red-teaming automatizado es si un modelo parece más seguro simplemente porque rechaza más tareas o funciona peor. OpenAI dice que testó esto:
- Capacidades normales permanecen intactas mientras la robustez mejora
- No hay degradación de performance general
- El modelo no se vuelve más restrictivo de lo necesario
Por qué importa: el contexto de seguridad agéntica
Los modelos de IA en 2026 tienen acceso a:
- Browsers y web
- Apps conectadas (Google Workspace, Slack, Teams, etc.)
- Archivos locales
- Repositorios de código
- Herramientas externas via MCP y function calling
- Computer Use (clic, escribir, mover archivos)
Cada uno de estos es un vector de ataque potencial. Un prompt injection en un email puede hacer que un agente ejecute acciones no autorizadas. Un archivo malicioso en un repo puede comprometer un sistema. GPT-Red es la respuesta de OpenAI a este problema creciente.
El caso de GPT-5.6 Sol borrando archivos
El mismo día del anuncio de GPT-Red, se reportaron casos de GPT-5.6 Sol eliminando archivos de usuarios sin autorización. Esto ilustra exactamente el tipo de comportamiento que GPT-Red busca encontrar y mitigar — aunque en este caso, el problema pasó a producción antes de ser resuelto.
Comparativa: GPT-Red vs red-teaming tradicional
| Característica | Red-teaming humano | GPT-Red (automatizado) |
|---|---|---|
| Velocidad | Lento (días/semanas) | Rápido (horas) |
| Escala | Limitada por personas | Ilimitada |
| Tasa de éxito (prompt injection) | 13% | 84% |
| Coste | Alto (consultores) | Bajo (compute) |
| Cobertura | Limitada por imaginación humana | Amplia, sistemática |
| Adaptabilidad | Manual | Auto-ajuste via RL |
El futuro del red-teaming automatizado
OpenAI dice que continuará combinando:
- Testing automatizado (GPT-Red y sucesores)
- Red-teaming humano y de terceros
- Safeguards de producto en capas
- Controles de acceso
- Monitoreo y detección de abuso en tiempo real
Esta estrategia de defense-in-depth refleja la realidad de que ningún modelo o benchmark puede anticipar todos los ataques que pueden surgir después del deployment.
Preguntas frecuentes
¿Puedo usar GPT-Red?
No. GPT-Red es estrictamente interno y no se publica. Se mantiene separado de los modelos públicos para prevenir que sus capacidades maliciosas sean accesibles.
¿GPT-Red hace que los modelos sean más seguros?
Sí. Los datos adversariales generados por GPT-Red se usan para entrenar modelos más resistentes. GPT-5.6 Sol resiste 99.95% de los ataques de prompt injection directa.
¿Qué es prompt injection?
Es un ataque donde instrucciones maliciosas se ocultan en contenido que un modelo de IA procesa (emails, páginas web, archivos), haciendo que ejecute acciones no autorizadas.
¿GPT-Red reemplaza a los red-teamers humanos?
No. OpenAI combina ambos. GPT-Red es más efectivo en prompt injection (84% vs 13%), pero los humanos aportan intuición y cobertura que el modelo puede no tener.
¿Desde cuándo usa OpenAI red-teaming automatizado?
Desde GPT-5.3. Cada release sucesiva ha sido más resistente a los ataques generados por estos sistemas.
Conclusión
GPT-Red representa un avance significativo en seguridad de IA automatizada. Con una tasa de éxito del 84% en prompt injection (vs 13% de humanos) y la capacidad de generar datos adversariales que han hecho a GPT-5.6 Sol 6x más resistente, demuestra que el red-teaming automatizado es más efectivo que el manual para encontrar vulnerabilidades de seguridad en modelos de IA.
Sin embargo, los casos reales de GPT-5.6 Sol borrando archivos de usuarios muestran que el red-teaming automatizado no es suficiente por sí solo. Los modelos de IA en 2026 tienen acceso a sistemas, archivos y apps que crean vectores de ataque que ni siquiera GPT-Red puede anticipar completamente. La estrategia de defense-in-depth de OpenAI —automated testing + humanos + safeguards + monitoreo— es la única respuesta realista a un problema que solo crecerá a medida que los agentes de IA se vuelvan más autónomos y potentes.