OpenAI construyo una IA cuyo unico trabajo es atacar los propios modelos de OpenAI, y resulta ser inquietantemente buena en ello. Llamado GPT-Red, el sistema es un red-teamer automatizado que caza vulnerabilidades de inyeccion de prompt (prompt injection), y en las propias evaluaciones de la compania tuvo exito en el 84 por ciento de los escenarios de ataque que nunca habia visto antes, frente a apenas el 13 por ciento de los red-teamers humanos en las mismas tareas. OpenAI uso lo que GPT-Red destapo para reforzar su modelo GPT-5.6 y, de forma reveladora, ha decidido no lanzar al atacante en absoluto.
La forma en que fue construida es una gran parte de la historia. GPT-Red fue entrenado mediante aprendizaje por refuerzo en self-play, un esquema en el que dos lados del mismo sistema compiten y se perfeccionan mutuamente. Un modelo atacante genera ataques de inyeccion de prompt cada vez mas ingeniosos, la tecnica de enganar a un modelo para que siga instrucciones enterradas en el contenido que esta procesando en lugar de la peticion real del usuario, mientras un modelo defensor aprende a ignorarlos. Ronda tras ronda ambos se vuelven mas fuertes, y el atacante termina explorando rincones del comportamiento del modelo que los evaluadores humanos quiza nunca pensarian en probar.
Los resultados son lo esencial. Con espacio para explorar por su cuenta, GPT-Red descubrio una clase de ataque que OpenAI llama fake chain of thought (falsa cadena de razonamiento), que inserta pasos de razonamiento falsos que el modelo trata como ya verificados y por tanto acepta. Retroalimentar esos descubrimientos al entrenamiento dio frutos de forma medible, los ataques que funcionaban en el antiguo GPT-5 mas del 90 por ciento de las veces ahora tienen exito menos del 23 por ciento de las veces contra GPT-5.6. En terminos sencillos, el atacante de IA hizo que el modelo lanzado fuera mucho mas dificil de secuestrar.
Lo mas llamativo es la decision sobre lo que no se debe hacer con el. OpenAI dice que GPT-Red no es un producto y no sera lanzado, y que se mantiene separado de los modelos que la gente usa de verdad, para que las capacidades de ataque que desarrolla no puedan salir a la luz. Es una admision franca de que una herramienta tan buena rompiendo IA es peligrosa en las manos equivocadas, y una ventana clara al dilema de doble uso en el centro de la seguridad de la IA, la misma habilidad que parcha un sistema puede darse la vuelta para forzarlo y abrirlo.
Lo que esta en juego va mas alla de un solo modelo. La inyeccion de prompt esta entre los problemas sin resolver mas peliagudos del campo, porque los agentes que leen tu correo, navegan por la web o ejecutan codigo pueden ser secuestrados por instrucciones ocultas en cualquier cosa que lleguen a tocar, y defenderse de eso a mano es una carrera que los humanos siguen perdiendo. GPT-Red apunta hacia donde se dirigen las cosas, dejando que la IA encuentre las fallas de la IA mas rapido de lo que podria cualquier equipo humano y luego incorporando esas lecciones en defensas mas solidas. Es una senal alentadora de que la carrera armamentista puede librarse con fuerza desde el lado defensivo. Tambien es un recordatorio de que las herramientas de seguridad mas capaces y las herramientas de ataque mas capaces son cada vez mas una y la misma, que es precisamente por lo que esta se mantiene bajo llave.
