OpenAI ha construido un superhacker LLM llamado GPT-Red que utiliza como compañero de entrenamiento para ayudar a sus otros modelos a reforzar sus defensas contra ciberataques. La semana pasada, la compañía lanzó la última versión de su LLM insignia, GPT-5.6. OpenAI afirma que entrenarlo contra GPT-Red lo convirtió en su lanzamiento más robusto hasta la fecha.
GPT-Red automatiza un tipo de evaluación de seguridad para sistemas de software conocido como red-teaming, que normalmente realiza un equipo de probadores humanos. El objetivo es encontrar tantas formas diferentes de romper o secuestrar un sistema como sea posible. Luego, los puntos débiles pueden parchearse antes de lanzar la versión final del software.
A medida que los LLM se vuelven más complejos y se utilizan en una variedad más amplia de tareas, especialmente en forma de agentes que pueden interactuar con archivos informáticos, sitios web, código de terceros y otros agentes, es difícil que los equipos humanos por sí solos sigan el ritmo de todos los tipos de ataques que podrían ocurrir. "La superficie de riesgo crece y el radio de explosión también crece", dice Nikhil Kandpal, científico de investigación en OpenAI y cocreador de GPT-Red.
OpenAI construyó GPT-Red para preparar su proceso de pruebas de seguridad para el futuro. "A medida que estén disponibles modelos más capaces, ya habremos diseñado el sistema que pueda descubrir nuevos modos de ataque", dice Dylan Hunn, científico de investigación en la compañía y también cocreador de GPT-Red. Los investigadores afirman que ya ha ideado nuevos tipos de ataque que no se habían visto antes.
OpenAI centró la mayor parte de sus esfuerzos en un tipo de ataque conocido como inyección de instrucciones, donde un hacker desliza instrucciones a un LLM para que haga cosas que sus desarrolladores o usuarios no quieren, como copiar información confidencial, sabotear la base de código de una empresa o generar resultados embarazosos o dañinos. En teoría, tales instrucciones pueden ocultarse en cualquier texto que el LLM pueda encontrar, por ejemplo, en código o en un sitio web.
Para construir GPT-Red, los investigadores de OpenAI tomaron un LLM que no había sido entrenado como hacker y lo configuraron en lo que se conoce como un bucle de autoaprendizaje con varios otros modelos. Su objetivo era intentar atacar a los otros modelos; el objetivo de ellos era intentar defenderse. A lo largo de muchas rondas de juego, GPT-Red se volvió cada vez mejor atacando a otros LLM, y esos LLM se volvieron cada vez mejores repeliendo los ataques.
El entrenamiento tuvo lugar en una especie de dojo que OpenAI había diseñado para imitar una variedad de escenarios en los que los LLM podrían desplegarse en el mundo real, incluyendo navegar por la web, leer correos electrónicos o aplicaciones de calendario, y editar código.
Cuando GPT-Red encontraba un nuevo tipo de ataque, exploraba múltiples versiones diferentes del mismo para encontrar el más eficiente para escenarios específicos. "En comparación con un red-teamer humano, el modelo es muy, muy bueno para encontrar exactamente lo que funcionará, exactamente lo que es más efectivo", dice Hunn. "Es extremadamente persistente en profundizar en un ataque que ha descubierto".
En particular, OpenAI afirma que GPT-Red encontró un tipo de ataque de inyección de instrucciones que los investigadores no habían visto antes, al que llaman cadena de pensamiento falsa. Una cadena de pensamiento es una especie de diario en el que un LLM toma notas para sí mismo y realiza un seguimiento de resultados parciales mientras resuelve problemas. GPT-Red encontró una manera de insertar una entrada falsa en la cadena de pensamiento de otro modelo que engañaría a ese modelo para que actuara sobre información falsificada.
"Es como si te dijera que 1+1=3 y que ya lo has verificado", dice Chris Choquette-Choo, otro científico de investigación del equipo. "El modelo piensa: 'Oh, vale, por supuesto', y simplemente escupe 3".
Jessica Ji, analista senior de investigación que trabaja en seguridad de IA en el Centro de Seguridad y Tecnología Emergente (CSET) de la Universidad de Georgetown, cree que el bucle de autoaprendizaje que utilizó OpenAI es un buen enfoque. "Los resultados parecen muy prometedores", dice.
OpenAI probó lo buen atacante que era GPT-Red repitiendo un experimento de 2025 en el que red-teamers humanos intentaron encontrar debilidades en una versión anterior de GPT-5. Cuando GPT-Red