OpenAI crea GPT-Red, un superhacker de IA para blindar sus modelos contra la inyección de prompts

En 30 segundos
GPT-Red es un modelo interno de OpenAI entrenado para atacar a otros modelos y encontrar vulnerabilidades de inyección de prompts, un ataque donde se cuelan instrucciones ocultas para que la IA haga algo no deseado. OpenAI lo entrenó por autojuego, enfrentándolo a modelos que aprendían a defenderse. Usarlo para entrenar GPT-5.6 lo volvió su modelo más robusto: de los ataques más fuertes que halló GPT-Red, más del 90% funcionaba contra GPT-5, pero menos del 23% contra GPT-5.6, seis veces menos fallas. OpenAI no liberará GPT-Red y admite que la inyección de prompts quizá nunca se resuelva por completo.
OpenAI construyó un superhacker de inteligencia artificial llamado GPT-Red y lo usa como sparring para reforzar las defensas de sus otros modelos frente a ciberataques. Según un reporte exclusivo de MIT Technology Review del 15 de julio de 2026, entrenar a GPT-5.6 contra este atacante lo convirtió en el modelo más robusto de la compañía. El tema es central para cualquier empresa que esté desplegando agentes de IA.
¿Qué es GPT-Red y qué es la inyección de prompts?
GPT-Red automatiza una evaluación de seguridad llamada red-teaming, que normalmente hace un equipo de personas y busca todas las formas posibles de romper o secuestrar un sistema. Se concentra en la inyección de prompts: un ataque donde alguien cuela instrucciones a un modelo para que haga cosas que sus desarrolladores o usuarios no quieren, como copiar información confidencial, sabotear el código de una empresa o generar contenido dañino. Esas instrucciones pueden esconderse en cualquier texto que el modelo lea, desde una página web hasta un correo o un archivo.
¿Cómo se entrenó y qué tan bueno es atacando?
OpenAI tomó un modelo que no era hacker y lo puso en un bucle de autojuego contra otros modelos: su meta era atacarlos y la de ellos, defenderse. Tras muchas rondas, GPT-Red se volvió experto en encontrar exactamente qué ataque funciona. Descubrió un tipo nuevo de ataque que los investigadores llaman falsa cadena de pensamiento, que inserta una entrada falsa en el razonamiento interno de otro modelo para engañarlo. En pruebas contra Vendy, un agente de máquina expendedora, GPT-Red logró cambiar precios y cancelar el pedido de un cliente.
¿Cuánto mejoró la seguridad de GPT-5.6?
Los números son contundentes. De los ataques más fuertes que ideó GPT-Red, más del 90% funcionaba contra GPT-5, lanzado en agosto del año pasado, pero menos del 23% funcionaba contra GPT-5.6. Eso equivale a seis veces menos fallas en el banco de pruebas más difícil de inyección directa de prompts. Aun así, GPT-Red tiene límites: no es bueno en ataques que requieren conversación de ida y vuelta, ni usando imágenes, y OpenAI reconoce que la inyección de prompts quizá nunca se resuelva del todo.
¿Por qué esto importa para los agentes de IA en ventas y servicio?
El riesgo crece justamente cuando los modelos se usan como agentes que interactúan con archivos, sitios web, correos y otros agentes. Como resume un investigador de OpenAI, la superficie de riesgo y el radio de impacto se agrandan. Para equipos comerciales de Chile y Latinoamérica que empiezan a conectar agentes de IA a su CRM y a sus buzones, esta es la pregunta de seguridad que no pueden ignorar.
Análisis de Revenue Hub
Para un líder comercial B2B en Chile y Latinoamérica, la noticia tiene dos lecturas y conviene separarlas. La buena: los proveedores de frontera están invirtiendo cómputo masivo en blindar sus modelos, y GPT-5.6 es medidamente más seguro que su antecesor. La incómoda: OpenAI admite que la inyección de prompts quizá nunca se resuelva por completo, justo cuando la industria empuja agentes autónomos conectados a tus datos. Confiar el ciento por ciento de un flujo comercial a un agente que lee correos y toca el CRM, sin supervisión, sigue siendo un riesgo real.
La recomendación no es frenar la adopción, es gobernarla. Antes de dar a un agente de IA permiso para actuar sobre datos de clientes, define qué puede leer, qué puede escribir y qué acciones requieren confirmación humana. El caso del agente de la expendedora, al que GPT-Red hizo cambiar precios y cancelar pedidos, es una miniatura perfecta de lo que puede salir mal cuando un agente tiene permisos de escritura sin barandas.
En la práctica: empieza con agentes en tareas de solo lectura o de borrador, con revisión humana antes de enviar o modificar, y sube el nivel de autonomía a medida que ganas confianza. Cubrimos cómo desplegar IA en el proceso comercial con criterio en IA en Ventas y en nuestro blog.
Preguntas frecuentes
¿Qué es GPT-Red de OpenAI?
Es un modelo interno de OpenAI entrenado para atacar a otros modelos y descubrir vulnerabilidades de inyección de prompts a gran escala, funcionando como un red team automático que ayuda a reforzar las defensas antes de desplegar los modelos.
¿Qué es la inyección de prompts (prompt injection)?
Es un ataque en el que alguien cuela instrucciones ocultas a un modelo de IA para que haga algo no deseado, como filtrar información confidencial, sabotear código o generar contenido dañino. Las instrucciones pueden esconderse en un correo, una web o un archivo.
¿Cuánto mejoró GPT-5.6 frente a la inyección de prompts?
De los ataques más fuertes de GPT-Red, más del 90% funcionaba contra GPT-5, pero menos del 23% contra GPT-5.6. Eso equivale a seis veces menos fallas en el banco de pruebas más difícil de inyección directa de prompts.
¿Cómo se entrenó GPT-Red?
Por autojuego: OpenAI puso un modelo a atacar a otros modelos que aprendían a defenderse, en un entorno que simulaba escenarios reales como navegar la web, leer correos o editar código. Tras muchas rondas, se volvió muy eficaz encontrando ataques.
¿OpenAI va a liberar GPT-Red?
No. OpenAI no liberará GPT-Red y sostiene que es más fuerte que cualquier copia que alguien pudiera crear, ya que lleva más de un año de desarrollo con el cómputo de una de las empresas más ricas del mundo.
¿La inyección de prompts ya está resuelta?
No. OpenAI reconoce que la inyección de prompts quizá nunca se resuelva por completo. GPT-Red tampoco es perfecto: rinde peor en ataques conversacionales de ida y vuelta y con imágenes.
¿Qué implica GPT-Red para las empresas que usan agentes de IA?
Que la seguridad de los agentes conectados a datos de clientes es un asunto abierto. La recomendación es gobernar la adopción: definir qué puede leer y escribir el agente, exigir confirmación humana en acciones sensibles y subir la autonomía gradualmente.
Fuente original
Esta noticia se basa en la publicación de MIT Technology Review. Lee el artículo completo en su fuente:
https://www.technologyreview.com/2026/07/15/1140514/meet-gpt-red-an-llm-super-hacker-openai-built-to-make-its-models-safer/

