OpenAI construiu um super-hacker LLM chamado GPT-Red que usa como parceiro de treino para ajudar seus outros modelos a reforçarem suas defesas contra ciberataques. Na semana passada, a empresa lançou a versão mais recente de seu LLM principal, o GPT-5.6. A OpenAI afirma que treiná-lo contra o GPT-Red tornou o modelo seu lançamento mais robusto até agora.

O GPT-Red automatiza um tipo de avaliação de segurança para sistemas de software conhecido como red-teaming, que normalmente é feito por uma equipe de testadores humanos. O objetivo é encontrar o maior número possível de maneiras diferentes de quebrar ou sequestrar um sistema. Os pontos fracos podem então ser corrigidos antes do lançamento da versão final do software.

À medida que os LLMs se tornam mais complexos e são usados em uma variedade maior de tarefas — especialmente na forma de agentes, que podem interagir com arquivos de computador, sites e código de terceiros, bem como outros agentes — é difícil para equipes de pessoas sozinhas acompanharem todos os tipos de ataques que podem ocorrer. “A superfície de risco cresce e o raio da explosão também cresce”, diz Nikhil Kandpal, um cientista de pesquisa da OpenAI que cocriou o GPT-Red.

A OpenAI construiu o GPT-Red para tornar seu processo de teste de segurança à prova do futuro. “À medida que modelos mais capazes se tornarem disponíveis, já teremos projetado o sistema que pode descobrir novos modos de ataque”, diz Dylan Hunn, um cientista de pesquisa da empresa e também cocriador do GPT-Red. Os pesquisadores afirmam que ele já criou novos tipos de ataque que não haviam sido vistos antes.

A OpenAI concentrou a maior parte de seus esforços em um tipo de ataque conhecido como injeção de prompt, onde um hacker insere instruções em um LLM para fazê-lo fazer coisas que seus desenvolvedores ou usuários não desejam, como copiar informações confidenciais, sabotar a base de código de uma empresa ou gerar saída embaraçosa ou prejudicial. Em teoria, tais instruções podem estar ocultas em qualquer texto que o LLM possa encontrar — em código ou em um site, por exemplo.

Para construir o GPT-Red, os pesquisadores da OpenAI pegaram um LLM que não havia sido treinado como hacker e o configuraram no que é conhecido como um loop de auto-jogo com vários outros modelos. Seu objetivo era tentar atacar os outros modelos; o objetivo deles era tentar se defender. Ao longo de muitas rodadas de jogo, o GPT-Red tornou-se cada vez melhor em atacar outros LLMs, e esses LLMs tornaram-se cada vez melhores em repelir os ataques.

O treinamento ocorreu em uma espécie de dojo que a OpenAI projetou para imitar uma variedade de cenários nos quais LLMs poderiam ser implantados no mundo real, incluindo navegar na web, ler e-mails ou aplicativos de calendário e editar código.

Quando o GPT-Red encontrava um novo tipo de ataque, explorava múltiplas versões diferentes dele para encontrar a mais eficiente para cenários específicos. “Comparado a um red-teamer humano, o modelo é muito, muito bom em encontrar exatamente o que funcionará, exatamente o que é mais eficaz”, diz Hunn. “É extremamente persistente em aprofundar um ataque que descobriu.”

Em particular, a OpenAI afirma que o GPT-Red encontrou um tipo de ataque de injeção de prompt que os pesquisadores não haviam visto antes, que chamam de cadeia de pensamento falsa. Uma cadeia de pensamento é uma espécie de diário no qual um LLM faz anotações para si mesmo e acompanha resultados parciais enquanto trabalha em problemas. O GPT-Red encontrou uma maneira de inserir uma entrada falsa na cadeia de pensamento de outro modelo que enganaria esse modelo para agir com base em informações falsificadas.

“É como se eu dissesse a você que 1+1=3 e que você já verificou isso”, diz Chris Choquette-Choo, outro cientista de pesquisa da equipe. “O modelo pensa: ‘Ah, ok, claro’, e simplesmente cospe 3.”

Jessica Ji, analista sênior de pesquisa que trabalha com segurança de IA no Centro de Segurança e Tecnologia Emergente (CSET) da Universidade de Georgetown, acredita que o loop de auto-jogo usado pela OpenAI é uma boa abordagem. “Os resultados parecem muito promissores”, diz ela.

A OpenAI testou o quão bom atacante o GPT-Red era repetindo um experimento de 2025 no qual red-teamers humanos tentaram encontrar fraquezas em uma versão anterior do GPT-5. Quando o GPT-Red