OpenAI reveló la existencia de GPT-Red, un sistema de inteligencia artificial diseñado con un propósito inusual: actuar como un “hacker” contra sus propios modelos.
A diferencia de los métodos tradicionales, en los que expertos humanos buscan fallos, esta tecnología permite que una inteligencia artificial intente engañar a otra de forma constante y a gran escala, con el fin de detectar vulnerabilidades antes de que los usuarios reales puedan encontrarlas.
El “Dojo” virtual: un duelo sin fin entre máquinas
El funcionamiento de esta técnica se basa en un concepto conocido como aprendizaje por refuerzo con autojuego. En términos sencillos, puede compararse con un entorno de entrenamiento o “dojo”, en el que dos sistemas compiten entre sí en un juego de estrategia:
- El Atacante (GPT-Red): Recibe una “recompensa” digital cada vez que logra que el modelo defensor cometa un error o ignore sus reglas de seguridad.
- Los Defensores: Ganan puntos si logran resistir el ataque y, al mismo tiempo, completar la tarea que se les pidió originalmente.
A medida que los defensores se vuelven más astutos y difíciles de engañar, el atacante se ve obligado a desarrollar tácticas cada vez más complejas para seguir teniendo éxito. Este ciclo de mejora continua ha requerido más de 700.000 horas de procesamiento gráfico (GPU), una inversión de recursos comparable a la utilizada para desarrollar los modelos más grandes de la empresa.
El engaño de la “Falsa Lógica”: Un descubrimiento de la IA
Uno de los hallazgos más sorprendentes de GPT-Red es una nueva categoría de amenaza que los investigadores humanos no habían detectado: la falsa cadena de pensamiento (fake chain of thought).
Muchos modelos modernos de inteligencia artificial “piensan en voz alta”, escribiendo pasos intermedios antes de ofrecer una respuesta final para mejorar su precisión. El ataque descubierto consiste en manipular esas notas internas de la IA, insertando pasos falsos que el modelo acepta como si fueran propios. Es equivalente a susurrarle a alguien que “1+1 es 3” y convencerlo de que él mismo ya lo comprobó: el sistema simplemente acepta la premisa falsa y continúa razonando a partir de ella.
Gracias a este entrenamiento, la tasa de éxito de este tipo de ataques en modelos nuevos, como GPT-5.6 Sol, se redujo del 95 % a menos del 10 %.
Del mundo digital al físico: El caso de la máquina expendedora
La capacidad de esta IA “hacker” no se limita a simples textos en una pantalla. En una prueba real, OpenAI permitió que GPT-Red atacara a Vendy, una máquina expendedora controlada por inteligencia artificial en sus propias oficinas.
El sistema atacante logró, mediante simulaciones previas, encontrar la forma de manipular los precios de productos costosos para que pasaran a costar solo 50 centavos, realizar pedidos fraudulentos e incluso cancelar las compras de otros clientes.
Este experimento demostró que, a medida que las inteligencias artificiales reciben más permisos para gestionar dinero o realizar transacciones reales, aumenta de forma significativa el riesgo de que sean “convencidas” de actuar de manera indebida.
Un arma que permanecerá bajo llave
A pesar de su eficacia —al superar a los hackers humanos, con una tasa de éxito del 84 % frente al 13 % en pruebas de detección de fallos—, OpenAI confirmó que no publicará GPT-Red. La razón es sencilla: al ser un atacante tan potente, distribuirlo sería equivalente a entregar un manual de instrucciones para vulnerar sistemas de inteligencia artificial en todo el mundo.
Por ahora, esta tecnología se utilizará únicamente como una herramienta interna de entrenamiento, con el objetivo de que las futuras versiones de sistemas como ChatGPT sean más robustas frente a intentos de manipulación externa.