OpenAI no presentó otro modelo para usuarios. Describió GPT-Red, un modelo interno de red team diseñado para atacar los propios sistemas de OpenAI.
El cambio importa porque los agentes ya leen páginas web, herramientas, archivos y código. Prompt injection ya no es solo un jailbreak de chat; puede entrar por el contenido que el agente procesa.
"Training strong automated safety red-teamers to improve robustness."
El red team entra al entrenamiento
GPT-Red se entrena con self-play reinforcement learning. El atacante intenta provocar una falla válida, mientras los modelos defensores intentan completar la tarea original sin obedecer instrucciones maliciosas escondidas en correos, páginas, archivos locales o salidas de herramientas.
OpenAI afirma que GPT-Red encontró ataques exitosos en el 84% de los escenarios de una arena replicada de prompt injection indirecta contra GPT-5.1. Los red teamers humanos alcanzaron 13%. Esos ataques se usaron para entrenar GPT-5.6 Sol, que según OpenAI tuvo seis veces menos fallas en su benchmark directo más difícil que el mejor modelo de producción de cuatro meses antes.
Los casos reales muestran el riesgo
En una prueba contra un agente de máquina expendedora, GPT-Red ensayó ataques en simulación y luego hizo que el agente de producción pusiera un producto caro a 0,50 dólares, añadiera un artículo de más de 100 dólares por 0,50 dólares y cancelara el pedido de otro cliente.
Otro caso atacó un agente Codex CLI basado en GPT-5.4 mini en 10 escenarios reservados de exfiltración de datos. OpenAI dice que GPT-Red fue más efectivo y más eficiente en tokens que una línea base GPT-5.5 guiada por prompt.
Cifras fuertes, validación limitada
OpenAI dice que una clase de ataques Fake Chain-of-Thought superaba 95% de éxito en GPT-5.1 y ahora está por debajo de 10% en GPT-5.6 Sol. En un conjunto amplio de robustez, la tasa de falla ante inyecciones directas de GPT-Red fue de 0,05%.
Aun así, GPT-Red sigue siendo interno. Investigadores externos no pueden reproducir todavía la distribución de pruebas, los fallos ni el costo en rechazos excesivos. Para equipos de producto, la lección práctica es separar permisos, usar allowlists de herramientas, confirmar acciones sensibles, registrar auditorías y exponer la menor cantidad posible de datos.
Fuentes: nota técnica de OpenAI GPT-Red, Help Net Security, SiliconANGLE, CocoLoop; se comprobaron 84%/13%, reducción de fallas por seis, más de 95% a menos de 10%, tasa de falla de 0,05% y los casos Vendy/Codex CLI.