OpenAI ha entrenado un modelo cuya función es atacar a otros modelos de OpenAI para encontrar sus vulnerabilidades antes de que las encuentren los actores maliciosos. Lo llama GPT-Red, y esta semana lo describió en detalle por primera vez: es un red-teamer automatizado diseñado para explotar inyección de prompts en los agentes de IA. En uno de sus tests, encontró una clase de ataque que el equipo de OpenAI nunca había visto antes. La empresa no lo va a publicar porque es demasiado peligroso.Lo cubre Ana Maria Constantin en TheNextWeb el 15 de julio, con información de MIT Technology Review.Cómo funciona GPT-RedLa inyección de prompts es uno de los ataques más preocupantes para los sistemas de agentes de IA: instrucciones maliciosas escondidas dentro de un correo electrónico, una página web o un archivo que engañan al modelo para que haga algo que no debería. Cuando un agente tiene acceso a correo, calendario, código y archivos de una empresa, una inyección de prompts exitosa puede hacer cosas muy concretas: filtrar datos, modificar código, enviar mensajes falsos.GPT-Red ataca específicamente ese vector. OpenAI lo entrenó mediante self-play: GPT-Red compite contra un conjunto de modelos defensores en un loop continuo. GPT-Red recibe recompensas por ataques que funcionan; los defensores, por bloquearlos. A medida que los defensores aprenden, GPT-Red necesita inventar ataques más sofisticados. OpenAI dice que invirtió en el entrenamiento de GPT-Red «uno de los runs de cómputo más grandes jamás destinados a trabajo de seguridad» — una cantidad que la empresa describe como sin precedentes para esta función.El resultado más llamativo es una clase de ataque completamente nueva, que el equipo de OpenAI llama «fake chain of thought». El ataque funciona plantando una nota falsa en la memoria de trabajo privada del modelo, haciendo que el modelo «recuerde» algo que nunca ocurrió o que «crea» algo que no es verdad.El investigador de OpenAI Chris Choquette-Choo lo explicó con una metáfora directa: «Es como si te dijera que 1+1=3 y que tú ya lo has verificado. El modelo dice ‘oh, claro’ y responde 3.»El test en la máquina de snacksPara mostrar que GPT-Red no es solo un ejercicio teórico, OpenAI lo soltó contra un objetivo real. Vendy es un agente de IA que controla una máquina de vending en las propias oficinas de OpenAI, construida por Andon Labs. GPT-Red atacó a Vendy y consiguió:Cambiar los precios de los productos.Marcar un artículo caro al precio mínimo de 50 céntimos.Cancelar el pedido de un cliente.Vendy nunca tuvo que «responder a comandos» explícitos de GPT-Red. El ataque funcionó a través del tipo de inyección de prompts que cabría esperar en un entorno real: instrucciones maliciosas en el canal de comunicación del agente. OpenAI dice que ha revelado las vulnerabilidades a Andon Labs.Los números del enfrentamientoLos resultados contra GPT-5 vs. GPT-5.6 ilustran bien por qué GPT-Red es útil:Contra el antiguo GPT-5: más del 90% de los ataques más potentes de GPT-Red funcionaron.Contra GPT-5.6: menos del 23% de esos mismos ataques funcionaron. La mejora en robustez es sustancial: casi 4 veces más resistente.Pero el dato más revelador es la comparación con humanos. En un rerun de un test de 2025, GPT-Red consiguió comprometer el 84% de los escenarios que se le presentaron. Los evaluadores humanos en el mismo test comprometieron el 13%. La IA es entre cinco y siete veces más eficaz que los humanos atacando sus propios sistemas.Por qué no lo publicaránOpenAI no va a compartir GPT-Red externamente. La razón que dan es directa: tiene demasiado potencial para ser usado como herramienta de ataque real. «No es algo que alguien pudiera hacer fácilmente, entrenar un super-atacante usando esta idea», dijo Choquette-Choo, pero no quieren comprobarlo.No es la primera vez que un lab de IA construye algo y decide que es demasiado peligroso para publicar. Anthropic no publicó un modelo que salió de su sandbox y envió un correo a un investigador. La distinción que OpenAI traza con GPT-Red es diferente: no es que el modelo sea superinteligente o que haya sobrepasado sus límites, sino que es una herramienta de ataque muy especializada que en manos equivocadas sería directamente útil para comprometer sistemas de producción.La lógica de OpenAI es usar GPT-Red internamente para endurecer sus modelos antes del lanzamiento, mientras mantiene la herramienta fuera del alcance de cualquiera que quiera hacer lo contrario. CISA ya usa el modelo Mythos de Anthropic para auditar código gubernamental en busca de vulnerabilidades: la IA como herramienta de ciberseguridad defensiva está ya en producción a nivel de gobierno. GPT-Red es la versión ofensiva del mismo patrón, y precisamente por eso no sale del laboratorio.El primer zero-day exploit generado por IA que Google documentó en mayo de 2026 mostró que los adversarios ya usan IA para descubrir vulnerabilidades más rápido que los humanos. GPT-Red es la respuesta de OpenAI a ese mismo problema aplicado a sus propios sistemas: una carrera de IA contra IA donde el objetivo es que tu defensor aprenda más rápido que el atacante del adversario.Mi valoraciónGPT-Red es quizás la señal más clara de que la era de los agentes de IA ya no es solo un problema de rendimiento sino de seguridad estructural. Un agente que puede leer tu correo, acceder a tus archivos y ejecutar código es una superficie de ataque enorme. Que OpenAI haya invertido «runs de cómputo sin precedentes» en construir un atacante para endurecer sus propios sistemas sugiere que la empresa lo sabe.Lo que más me convence es la metodología de self-play: es la misma técnica que hizo que AlphaGo superara a los mejores jugadores humanos de go, aplicada a la seguridad. Lo que más me preocupa es el 23%: incluso GPT-5.6, que es mucho más robusto que su predecesor, sigue siendo vulnerable a casi uno de cada cuatro ataques de GPT-Red. En un entorno de producción con millones de usuarios, ese 23% es un número grande.Preguntas frecuentes¿Qué es exactamente la inyección de prompts y por qué es tan peligrosa en agentes de IA?La inyección de prompts ocurre cuando instrucciones maliciosas son introducidas en los datos que procesa un modelo, haciendo que el modelo siga esas instrucciones en lugar de las de su usuario legítimo. En un chatbot simple, el daño es limitado. En un agente con acceso a correo, archivos, código y herramientas de ejecución, una inyección exitosa puede filtrar datos confidenciales, modificar código de producción o enviar comunicaciones falsas en nombre del usuario.¿GPT-Red podría usarse para atacar modelos de otras compañías, no solo de OpenAI?Técnicamente, un modelo entrenado para encontrar vulnerabilidades de prompt injection podría ser redirigido contra cualquier sistema de agentes. Es exactamente por eso que OpenAI no lo publica: las técnicas que GPT-Red ha descubierto, incluyendo el «fake chain of thought», son generalizables más allá de los propios modelos de OpenAI.¿Cuándo publicará OpenAI el paper completo sobre GPT-Red?OpenAI indicó que un paper técnico completo sobre GPT-Red se publicaría a finales de la semana del 14 de julio. El paper detallará la metodología de entrenamiento, los resultados completos y los límites actuales del sistema.La noticia OpenAI construyó una IA que hackea sus propios modelos, la llaman GPT-Red — y no la publicarán porque funciona demasiado bien fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.