GPT-Red: entrenar un modelo atacante para endurecer a los defensores frente a la inyección
El 15 de julio de 2026, OpenAI describió GPT-Red, un modelo interno de red team entrenado por self-play para hallar inyecciones de prompt. Superó a los humanos 84 % frente a 13 % y luego se usó para robustecer GPT-5.6.
¿Qué es esto?
El 15 de julio de 2026, OpenAI publicó una descripción de GPT-Red, un modelo exclusivamente interno entrenado para hacer red team a sus propios sistemas en busca de fallos de inyección de prompt. GPT-Red actúa como un red-teamer humano: envía un prompt, observa la respuesta del modelo objetivo e itera hacia una meta —exfiltrar un archivo, reenviar una clave de API—. Lo relevante no es el atacante en sí, sino el bucle a su alrededor: OpenAI reintroduce los ataques hallados por GPT-Red en el entrenamiento de sus modelos de producción, y afirma que esto convirtió a GPT-5.6 Sol en su versión más resistente a la inyección hasta la fecha.
El tema interesa a los defensores porque ofrece una referencia concreta del nivel actual del red teaming automatizado y porque la receta de self-play está descrita con suficiente detalle como para reproducirse. OpenAI anuncia un preprint más detallado en la misma semana de publicación.
Cómo funciona
GPT-Red se entrena mediante aprendizaje por refuerzo en self-play. El modelo atacante y una población de modelos «defensores» diversos se entrenan a la vez dentro de escenarios de despliegue simulados —navegar por la web, leer un correo, procesar el resultado de una herramienta, editar código—. Cada escenario lleva un modelo de amenaza que define qué controla el atacante (un banner de una página web, el cuerpo de un correo, parte de un archivo local, la salida de una herramienta) y qué cuenta como compromiso exitoso.
La recompensa es adversaria: GPT-Red gana puntos por provocar un fallo válido, mientras que los defensores los ganan por resistir el ataque y completar su tarea original. A medida que los defensores se endurecen, el atacante se ve empujado a técnicas más fuertes y variadas. OpenAI dice haber ejecutado este entrenamiento a la escala de cómputo de algunos de sus mayores post-entrenamientos, y mantiene GPT-Red deliberadamente al margen de los modelos desplegados para que la capacidad ofensiva quede fuera del alcance de los adversarios.
Destacan dos resultados. En una versión replicada de la arena de inyección indirecta de Dziemian et al. (2025), GPT-Red y red-teamers humanos atacaron de forma independiente a GPT-5.1 sobre escenarios inéditos; GPT-Red tuvo éxito en el 84 % frente al 13 % de los humanos. Y una versión temprana descubrió por sí sola una técnica de inyección directa que OpenAI llama «Fake Chain-of-Thought» —insertar pasos de razonamiento falsos en la reflexión del objetivo—, con cerca del 95 % de éxito sobre GPT-5.1.
Por qué importa
La ganancia defensiva es real pero acotada. OpenAI indica que GPT-5.6 Sol ahora falla solo en el 0,05 % de las inyecciones directas de GPT-Red, que Fake Chain-of-Thought baja del 10 % frente a él y que varios benchmarks de inyección en herramientas de desarrollo y navegación superan el 97 % de precisión —sin degradar las puntuaciones de capacidad frontera ni de sobre-rechazo, que es lo más difícil de lograr—.
Pero los casos de estudio recuerdan que la robustez de un modelo no es la seguridad de un sistema. Se lanzó GPT-Red contra un agente que gestiona una máquina expendedora en las oficinas de OpenAI y alcanzó sus tres objetivos: bajar un artículo en stock al mínimo de 0,50 $, poner a la venta un artículo de más de 100 $ a ese mismo precio y cancelar el pedido de otro cliente. Contra un agente Codex de línea de comandos respaldado por un modelo más pequeño, exfiltró datos en más escenarios de diez que una base de comparación. Es decir, un atacante bien entrenado sigue rompiendo sistemas agénticos construidos sobre modelos sólidos cuando esos sistemas otorgan verdadera autoridad de herramienta sobre entradas no confiables.
Defensas
- Lea las cifras de robustez de los proveedores como «en distribución», no como garantías. Un «0,05 % de fallo» se mide contra la distribución de un atacante en entornos de prueba; no acota lo que hará otro atacante, un fine-tune o una técnica del mes que viene. Es un suelo que se erosiona, no un techo.
- Mantenga la trifecta letal fuera de los agentes de contexto único. Los casos de la expendedora y de Codex funcionan porque el agente combinaba entrada no confiable, acceso sensible y un canal de exfiltración o acción. Sepárelos; un modelo base más robusto no lo exime de ello.
- Imponga los límites de acción fuera del modelo. Controles deterministas sobre cambios de precio, cancelación de pedidos, POST salientes y acceso a credenciales habrían frenado cada caso de estudio, con independencia de cómo se formulara la inyección.
- Adopte el self-play adversario como práctica interna, a su escala. No necesita el cómputo de OpenAI para montar un bucle atacante/defensor sobre su propio arnés de agente y detectar rutas de inyección antes del despliegue; el valor está en la cobertura y la diversidad, no en el tamaño del modelo.
- Vigile la suplantación del canal de razonamiento. Fake Chain-of-Thought muestra que un texto inyectado que imita la reflexión del modelo constituye una clase aparte; registre y acote cómo se entrelaza la salida de herramientas con el razonamiento en vez de confiar en pasos «internos» aparentes.
Estado
| Elemento | Valor |
|---|---|
| Qué | GPT-Red — red-teamer automatizado interno entrenado por self-play RL |
| Divulgación | 15 de julio de 2026 (OpenAI); preprint anunciado esa misma semana |
| Resultado atacante | 84 % frente a 13 % (humanos) en una arena de inyección replicada de Dziemian et al. contra GPT-5.1 |
| Resultado defensor | GPT-5.6 Sol falla en el 0,05 % de las inyecciones directas de GPT-Red; Fake CoT < 10 % |
| Salvedad | Los casos con agentes reales (expendedora, Codex CLI) siguen totalmente comprometidos |
| Alcance | Avance de investigación/defensa; sin CVE, sin parche de producto |
Fechas clave: 15 de julio de 2026 — publicación de OpenAI; 16 de julio de 2026 — cobertura de prensa. Arena de referencia: Dziemian et al., «How Vulnerable Are AI Agents to Indirect Prompt Injections?» (arXiv, marzo de 2026). Se anunció un preprint con metodología más completa para esa misma semana.