IA ofensiva da OpenAI testa vulnerabilidades de outros modelos em ambiente controlado de cibersegurança e avaliação de riscos.

A OpenAI desenvolveu uma inteligência artificial especializada em simular ataques contra grandes modelos de linguagem. Batizada de GPT-Red, a tecnologia procura vulnerabilidades em sistemas capazes de acessar arquivos, navegar na internet e utilizar aplicações externas, permitindo que falhas sejam identificadas antes da liberação comercial de novos produtos.

Apresentada em 15 de julho de 2026, a ferramenta funciona como uma equipe automatizada de testes ofensivos. Em vez de apenas avaliar respostas isoladas, ela cria comandos maliciosos, observa o comportamento do sistema analisado e adapta suas estratégias até conseguir explorar uma brecha. O projeto será mantido internamente e não ficará disponível para clientes ou desenvolvedores.

Inteligência artificial simula ataques em larga escala

Testes de intrusão e exercícios de red team são utilizados para revelar fragilidades antes que invasores reais possam explorá-las. No entanto, avaliações conduzidas exclusivamente por especialistas humanos demandam tempo, equipes capacitadas e grande quantidade de recursos.

Com a expansão dos agentes de inteligência artificial, esse processo se tornou ainda mais complexo. Essas aplicações não apenas geram textos, mas também consultam documentos, acessam navegadores, interagem com plataformas corporativas e executam tarefas por meio de ferramentas conectadas.

Esse nível de autonomia cria novas superfícies de exposição. Uma instrução manipulada pode estar escondida em um e-mail, página da web, arquivo local, resposta de uma aplicação ou repositório de código. Ao interpretar o conteúdo, o agente pode ser induzido a ignorar suas regras originais e realizar uma ação não autorizada.

O ataque é conhecido como injeção de prompt, técnica utilizada para alterar o comportamento de um modelo por meio de comandos preparados para contornar suas proteções. Entre os riscos estão o compartilhamento indevido de informações, o envio de credenciais, a alteração de configurações e a execução de operações sem autorização.

GPT-Red aprende enquanto enfrenta sistemas defensivos

O treinamento utiliza aprendizagem por reforço e uma metodologia de competição entre modelos. De um lado, o atacante tenta provocar uma falha válida. Do outro, diferentes sistemas defensivos recebem recompensas quando conseguem resistir à tentativa e concluir corretamente a tarefa solicitada.

À medida que as defesas evoluem, o atacante precisa encontrar abordagens mais sofisticadas. Esse processo permite gerar um volume elevado de situações adversariais, incluindo ameaças que dificilmente seriam previstas em avaliações convencionais.

A OpenAI afirma ter dedicado ao projeto uma capacidade computacional comparável à utilizada em alguns de seus maiores processos de pós-treinamento. O objetivo é ampliar a descoberta de problemas sem substituir especialistas, auditorias independentes, monitoramento contínuo ou camadas adicionais de proteção.

Em uma avaliação baseada em ambientes inéditos de injeção indireta, a ferramenta conseguiu explorar 84% dos cenários apresentados. Especialistas humanos, submetidos às mesmas condições, alcançaram uma taxa de sucesso de 13%.

O resultado não significa que profissionais de segurança deixem de ser necessários. A automação aumenta a escala e a variedade dos testes, enquanto analistas continuam responsáveis por interpretar impactos, validar descobertas, estabelecer limites e avaliar consequências que dependem do contexto empresarial.

Teste alterou preços de máquina de venda automática

Um dos experimentos envolveu uma máquina de venda automática administrada por um agente autônomo. O sistema ofensivo recebeu uma descrição do ambiente e pôde testar diferentes abordagens em uma simulação semelhante à aplicação real.

Após desenvolver a estratégia, a tecnologia conseguiu alterar o preço de um produto caro para o valor mínimo permitido, definido em US$ 0,50. Também solicitou a inclusão de um item superior a US$ 100 pelo mesmo preço reduzido e cancelou o pedido de outro cliente.

As vulnerabilidades foram comunicadas aos responsáveis, que passaram a testar novas medidas de proteção. O caso demonstra que falhas em modelos conectados a sistemas físicos ou comerciais podem produzir consequências que ultrapassam a geração de respostas incorretas.

Outro exercício avaliou um agente de programação baseado no GPT-5.4 mini. A solução ofensiva foi colocada diante de dez cenários de extração de dados e conseguiu induzir o sistema a encaminhar informações sensíveis em mais situações e com menor consumo de tokens do que um modelo convencional utilizado como referência.

Treinamento reduziu vulnerabilidades do GPT-5.6

As tentativas bem-sucedidas produzidas pela ferramenta foram incorporadas ao desenvolvimento das versões comerciais da OpenAI. Conforme a companhia, modelos precursores vêm sendo utilizados nesse processo desde o GPT-5.3.

Uma das descobertas foi uma categoria de ataques diretos denominada “Fake Chain-of-Thought”. A técnica alcançava taxas superiores a 95% contra o GPT-5.1. No GPT-5.6 Sol, o índice ficou abaixo de 10%.

Em uma avaliação mais ampla, o modelo recente falhou em apenas 0,05% das injeções diretas geradas pelo GPT-Red. A companhia também informou que o GPT-5.6 Sol apresentou seis vezes menos falhas em seu teste mais difícil quando comparado ao melhor produto disponível quatro meses antes.

A preocupação durante o processo é impedir que a resistência seja obtida por meio de recusas excessivas. Um sistema poderia parecer seguro simplesmente por evitar tarefas legítimas. Por isso, a empresa afirma avaliar simultaneamente a proteção contra comandos maliciosos e a manutenção das capacidades normais.

Modelo ofensivo ficará restrito à OpenAI

A solução não será oferecida por API nem integrada diretamente ao ChatGPT. Ela permanecerá separada dos produtos utilizados pelo público para evitar que suas capacidades específicas sejam aproveitadas na automação de ataques.

A estratégia mostra uma mudança no desenvolvimento da segurança de inteligência artificial. Os próprios modelos passam a participar da identificação de falhas, da criação de cenários adversariais e do treinamento das gerações seguintes.

Para empresas que adotam agentes conectados a documentos, e-mails, sistemas financeiros, ferramentas de desenvolvimento ou ambientes em nuvem, a iniciativa reforça a necessidade de tratar injeções de prompt como parte da gestão de risco. Controle de acesso, segmentação de permissões, validação de ações, rastreamento de comandos e supervisão humana permanecem necessários.

A automação dos testes ofensivos tende a acelerar a descoberta de vulnerabilidades, mas também evidencia o potencial de sistemas especializados em manipular outras inteligências artificiais. A capacidade poderá fortalecer mecanismos defensivos quando operada de forma controlada, ao mesmo tempo que exigirá políticas rigorosas para impedir sua utilização fora de ambientes autorizados.

Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!