OpenAI ha construido un atacante digital dedicado: un gran modelo de lenguaje llamado GPT-Red, cuya única tarea es encontrar lagunas en los demás sistemas de IA de la compañía. El sistema funciona como un probador de equipo rojo automatizado — y según MIT Technology Review, se utilizó activamente durante el entrenamiento de GPT-5.6, que OpenAI lanzó la semana pasada.

Auto-juego como método de entrenamiento

GPT-Red ha sido entrenado a través de lo que se conoce como un bucle de aprendizaje por refuerzo de auto-juego. En pocas palabras: el atacante ataca a un defensor, el defensor se adapta y el ciclo se repite a gran escala. El objetivo es descubrir debilidades en las que los probadores humanos no piensan o simplemente no pueden cubrir.

OpenAI describe este enfoque como central en el trabajo para hacer que los modelos sean robustos contra ataques cibernéticos reales — especialmente ataques basados en la inyección de prompts, donde un actor malintencionado intenta manipular el comportamiento del modelo a través de instrucciones especialmente diseñadas.

OpenAI ha reconocido que la inyección de prompts es «poco probable que se resuelva por completo alguna vez» — pero GPT-Red está diseñado para hacer que los modelos sean lo más resistentes posible contra esto.
La IA hacker de OpenAI atacó sus propios modelos 674 veces en tres horas - Bilde 1

Toda la industria se mueve en la misma dirección

Las pruebas de seguridad de IA contra IA ya no son un experimento de OpenAI. Según la documentación disponible de la industria, todos los principales actores han adoptado enfoques similares.

Microsoft ha liberado como código abierto el marco PyRIT, donde un agente basado en LLM ataca repetidamente un sistema objetivo mientras un motor de evaluación juzga los resultados. Raja Sekhar Rao Dheekonda, co-creador de PyRIT, ha declarado que los agentes de IA hacen que las pruebas de seguridad sean drásticamente más eficientes — un solo operador puede llevar a cabo cientos de ataques en una tarde.

Google utiliza un Equipo Rojo de IA dedicado que simula actores de amenazas inspirados en hackers estatales, hacktivistas e insiders. Meta utiliza probadores tanto internos como externos en sus modelos abiertos, incluido Llama 3.1, con evaluación en áreas como ciberseguridad, inyección de prompts y amenazas biológicas.

674
Ataques contra Llama Scout de Meta en tres horas
73 %
Sistemas de IA en producción con vulnerabilidades de inyección de prompts

Una grave brecha de seguridad ilustra la necesidad

En febrero de 2026, un agente de IA autónomo descubrió 22 puntos finales de API no autenticados en la plataforma interna de IA de McKinsey, Lilli. En dos horas, el agente había obtenido acceso completo de lectura y escritura a la base de datos — y expuesto 46,5 millones de mensajes de chat, 728.000 archivos y 57.000 cuentas de usuario. El incidente no ha sido confirmado por McKinsey, pero se menciona en la investigación de la industria como un ejemplo ilustrativo de lo que los ataques automatizados pueden lograr en poco tiempo.

Un solo agente de IA tardó dos horas en exponer 46,5 millones de mensajes de chat en una plataforma de IA empresarial.

La regulación acelera el desarrollo

La industria también está siendo presionada por los legisladores. La Ley de IA de la UE exige que los sistemas de IA de alto riesgo se sometan a pruebas adversarias — con fecha límite en agosto de 2026. Esto proporciona un impulso adicional a la inversión en los métodos que representa GPT-Red.

Actualmente, existen herramientas y marcos para las pruebas de seguridad de la IA de varios actores: PyRIT de Microsoft, Garak de NVIDIA, Promptfoo, Confident AI y Scale AI se encuentran entre los que ofrecen marcos de ataque estructurados. Se estima que el mercado de dichos servicios alcanzará los 18.600 millones de dólares para 2035, según las previsiones de la industria.

Problemas aún sin resolver

A pesar del progreso, la industria no ha alcanzado su objetivo. OpenAI ha reconocido que la inyección de prompts probablemente nunca será eliminada por completo. La pregunta es, en cambio, cuán resistentes pueden llegar a ser los modelos — y si los atacantes en el mundo siempre estarán un paso por delante. GPT-Red es el intento de OpenAI de responder a esa pregunta permitiendo que la máquina luche contra sí misma.