ofensiva
AI red team
PyRIT
Garak

AI red team automation 2026: herramientas, frameworks y limitaciones

AI red team automation 2026: PyRIT, Garak, Promptfoo, Counterfit y orquestación de adversarial testing continuo en pipelines LLM.

Secra8 de junio de 202614 min de lectura

El AI red team automation es la ejecución continua y orquestada de pruebas adversariales contra modelos de inteligencia artificial y aplicaciones basadas en LLM dentro de pipelines de integración y despliegue. Es una categoría emergente entre 2024 y 2026, que nace de una constatación práctica: los modelos cambian con frecuencia (nuevas versiones del proveedor, fine-tunes internos, actualizaciones de prompts de sistema, cambios en bases vectoriales RAG), y los ejercicios manuales de red teaming, por completos que sean, no escalan al ritmo de esos cambios. La automatización no sustituye al red team experto, pero permite cubrir la regresión de defensas, validar cada release y producir señales accionables antes de que un cambio rompa los guardrails que funcionaban la semana anterior.

Lo esencial

  • AI red team automation = adversarial testing ejecutado de forma continua en CI/CD, no auditorías puntuales anuales.
  • Frameworks principales en 2026: PyRIT (Microsoft), Garak (NVIDIA), Promptfoo, Counterfit y evaluaciones internas de los grandes laboratorios.
  • Categorías cubribles de forma automatizada: prompt injection, jailbreaks, fugas de PII, system prompt leakage, abuso de tools, degradación de refusals y sesgos.
  • Las limitaciones son reales: false positives elevados, requieren revisión humana experta y no detectan ataques creativos multi-turno.
  • Encaja con EU AI Act, NIST AI RMF y, en entidades financieras, con la operativa de testing exigida por DORA.

Por qué automation y no solo ejercicios manuales

Un programa de AI red teaming exclusivamente manual deja de ser viable cuando la aplicación entra en producción y empieza a evolucionar. Tres factores empujan hacia la automatización.

El primero es la frecuencia de cambio. Un asistente LLM en producción suele recibir cambios semanales (nuevas versiones del modelo, ajustes al prompt de sistema, herramientas nuevas, modificación de la base vectorial, filtros adicionales) y cada uno puede romper un guardrail o abrir superficie nueva. Repetir un ejercicio manual de cuatro semanas tras cada release no es operativo; ejecutar una batería automatizada de probes en cada despliegue sí lo es.

El segundo es la regresión silenciosa. Cuando el proveedor publica una nueva versión del modelo, muchos comportamientos cambian sin documentación pública detallada: filtros que rechazaban un patrón empiezan a aceptarlo, sesgos se mueven, formatos de salida varían. Sin baseline automatizado, las regresiones se descubren tarde y normalmente cuando un usuario las publica.

El tercero es la escala. Una batería seria cubre miles de variantes (prompt injection en distintos idiomas, jailbreaks conocidos, extracción de system prompt, abusos de tools, codificaciones). Ejecutar y evaluar manualmente ese volumen tras cada cambio es inviable; la automatización es la única vía para mantener cobertura razonable a coste sostenible.

Esto no significa que la automatización resuelva el problema completo. Los ataques más impactantes siguen siendo creativos, multi-turno y específicos del contexto, y requieren red team humano experto. La automatización cubre la base; el operador humano cubre la frontera.

Frameworks principales en 2026

El ecosistema ha madurado lo suficiente como para hablar de varios frameworks con identidad propia y comunidades activas. Cada uno cubre un espacio diferente.

PyRIT

PyRIT (Python Risk Identification Tool) es el framework open source de Microsoft orientado a red team de sistemas de IA generativa. Su valor diferencial es la orquestación: define escenarios complejos donde un atacante (otro modelo, script o humano) interactúa con el objetivo a lo largo de varios turnos, evalúa con scorers configurables y registra el flujo completo. Soporta múltiples proveedores (OpenAI, Azure OpenAI, Hugging Face, endpoints custom) y encadena ataques single-turn y multi-turn. Curva de adopción más alta que un scanner simple, pero la profundidad de escenarios es comparable a la de un operador experto ejecutado en bucle.

Garak

Garak es el scanner de LLM mantenido por NVIDIA. Cientos de probes prefabricados organizados por categoría (jailbreaks conocidos, extracción de información, generación de malware, sesgos, alucinaciones), evaluados con detectores específicos. Es la herramienta más fácil de adoptar para un primer baseline: se apunta al endpoint, se elige un perfil y se obtiene un informe con tasas de éxito por categoría. Extensión a probes propios razonable, menos flexible que PyRIT en multi-turno.

Promptfoo

Promptfoo es un framework de testing y evaluación de prompts y aplicaciones LLM. Permite definir suites declarativas en YAML con casos esperados (no filtrar PII, no seguir instrucciones embebidas en documentos, no invocar herramientas fuera del scope) y ejecutarlas contra varios modelos. Es la opción más usada cuando el equipo de desarrollo quiere bloquear merges si una regresión adversarial supera un umbral.

Counterfit

Counterfit es la herramienta de Microsoft para adversarial ML en sentido amplio, no solo LLM. Cubre evasion attacks contra clasificadores, inference attacks contra modelos de visión, perturbaciones de audio y, en menor medida, técnicas aplicables a LLM. Relevante en organizaciones que despliegan ML clásico (clasificadores de fraude, detectores de spam, scoring) junto a LLM.

Evaluaciones de laboratorios y plataformas comerciales

Anthropic, OpenAI, Google DeepMind y otros publican evaluaciones automatizadas asociadas a sus Responsible Scaling Policies o Frontier Safety Frameworks. Son referencias útiles para construir suites propias y calibrar, no frameworks ejecutables en pipelines empresariales. Plataformas comerciales como LangSmith o Mendable han incorporado catálogos adversariales y dashboards; su valor está en la integración con el stack de observabilidad LLM, no en la profundidad técnica del catálogo.

Capacidades comparadas

Cada framework cubre un espacio distinto y la elección depende del nivel de madurez del programa. Garak gana en cobertura inmediata y facilidad de adopción para un primer baseline o una vendor evaluation. PyRIT gana en profundidad de escenarios multi-turno custom y trazabilidad fina, ideal para replicar ejercicios manuales en automático. Promptfoo gana en integración con el ciclo de desarrollo y capacidad de bloquear releases por regresión. Counterfit es complementario cuando el scope incluye modelos clásicos de ML. Las plataformas comerciales aportan observabilidad y visualización para perfiles de producto y data science.

Una arquitectura realista en 2026 combina Garak para baseline rápido, PyRIT para escenarios complejos custom, Promptfoo como gate en CI/CD y una plataforma comercial para observabilidad continuada.

Pipeline AI red team automation típico

El pipeline tiene tres bloques conectados: pre-deployment, post-deployment y respuesta a incidentes.

El bloque pre-deployment se ejecuta antes de cada release. Corre una suite Garak contra el endpoint en staging, una suite PyRIT con escenarios multi-turno propios del producto y una batería Promptfoo con assertions específicas (no filtrar API keys, no responder en idiomas no soportados, no invocar herramientas fuera del scope). Si las tasas de éxito adversarial superan los umbrales, el pipeline bloquea el merge o el despliegue.

El bloque post-deployment monitoriza el modelo en producción. Ejecuta probes periódicos contra el endpoint productivo o un canary, captura derivas, alerta cuando un guardrail empieza a ceder y registra evolución temporal de métricas clave.

El bloque respuesta a incidentes se activa cuando se detecta un ataque real o se publica una nueva clase de jailbreak relevante. Traduce la técnica a probe automatizado, la integra en las suites y verifica que el nuevo guardrail cubre la variante original y reformulaciones razonables. Así el aprendizaje de un incidente se convierte en regresión perpetua.

Conviene tratar este pipeline como cualquier otro pipeline crítico: con versionado, métricas, dashboards y revisión periódica de umbrales.

Categorías de tests automatizables

No todo se puede automatizar con calidad equivalente a un operador humano, pero la lista de categorías cubribles con resultados razonables es amplia en 2026.

Prompt injection directa. Catálogos de variantes conocidas (DAN, role play, sufijos GCG), reformulaciones automáticas con modelos auxiliares, traducciones a idiomas con menor cobertura de alineamiento. Garak y PyRIT cubren bien este espacio.

Jailbreak attempts. Bypass de filtros para producir contenido prohibido (instrucciones de daño, código malicioso, contenido ilegal). El reto es el detector: combinar LLM como juez con detectores deterministas mejora la fiabilidad.

PII extraction. Forzar al modelo a revelar datos personales presentes en contexto, base RAG o memorizados en entrenamiento. Los detectores deterministas (regex sobre DNI, email, tarjetas) funcionan bien aquí.

Hallucination en queries factuales. Catálogos de preguntas con respuesta verificable se ejecutan en bucle. Útil en dominios cerrados (legal, médico, financiero) donde la verdad es tabulable.

System prompt leakage. Pruebas que intentan extraer el prompt de sistema. El detector compara la salida con el prompt conocido y alerta si hay coincidencia significativa.

Tool abuse y hallucinated tool calls. Inducir al modelo a invocar herramientas no permitidas, pasar parámetros maliciosos o inventar herramientas. Requiere instrumentar el sandbox de tools para registrar invocaciones y comparar con el comportamiento esperado.

Bias y harm content. Catálogos públicos (HELM, BBQ, RealToxicityPrompts) miden sesgos demográficos y producción de contenido tóxico. Los resultados se interpretan con cuidado: las métricas tienen limitaciones conocidas.

Refusal degradation. Tras un cambio de versión, comparar la tasa de refusal en peticiones legítimas frente al baseline. Si sube de más o baja en categorías sensibles, se reporta como regresión.

Integración en CI/CD

La integración técnica en pipelines de CI/CD modernos es directa. Un patrón habitual con GitHub Actions:

name: ai-red-team-eval
on:
  pull_request:
    paths:
      - 'prompts/**'
      - 'config/llm.yaml'
      - 'rag/**'
jobs:
  pyrit-scenarios:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: run pyrit suite
        run: pyrit run --suite suites/release.yaml --target staging
      - name: fail on regression
        run: pyrit gate --baseline baselines/main.json --threshold 0.05

Promptfoo se integra con un patrón similar: ejecuta los tests definidos en YAML, compara resultados contra el baseline anterior y falla el job si la regresión supera el umbral. Garak suele ejecutarse de forma menos frecuente (no en cada PR, sino en cada release candidate) por coste de tiempo y consumo de tokens.

La política de fail-on-regression debe calibrarse. Bloquear cualquier movimiento al alza en attack success rate produce fricción excesiva y se acaba ignorando. La práctica madura define umbrales por categoría, exige justificación documentada cuando se supera un umbral y mantiene un panel donde el equipo de seguridad revisa periódicamente la deriva.

Limitaciones honestas

La automatización tiene techos reales que conviene reconocer antes de presentar el programa al comité.

False positives elevados. Muchos detectores clasifican como ataque exitoso respuestas que cumplen la política, o pasan por alto bypasses reales con salida adversarial sutil. La revisión humana periódica sigue siendo necesaria para calibrar.

No sustituye al red team experto. Las técnicas más impactantes que se publican cada año (encadenamientos novedosos, abuso creativo de tools, prompt injection contextual del producto) salen casi siempre de operadores humanos. La automatización industrializa la base; el techo lo pone el equipo experto.

Divergencia rápida de versiones. Cada cambio de modelo subyacente puede invalidar parte del baseline. Mantener la suite es trabajo continuo, no algo que se construye una vez.

Coste de tokens. Suites amplias contra modelos comerciales consumen volumen significativo. El coste mensual del programa de evals puede ser comparable al de un entorno staging completo, y conviene presupuestarlo desde el inicio.

Detectores LLM como juez y cobertura desigual entre proveedores. Usar otro LLM como evaluador introduce su propio sesgo. Algunas herramientas tienen integraciones excelentes con ciertos proveedores y soporte limitado con otros: en stacks heterogéneos conviene validar cobertura real antes de comprometerse con una arquitectura.

Métricas para un programa continuo

Las métricas accionables de un programa de AI red team automation no son muchas, pero importan.

Attack success rate por categoría. Porcentaje de probes que consiguen el comportamiento adversarial en la suite definida. Es la métrica más vigilada por equipos de seguridad LLM y se compara con el baseline tras cada release.

Regresiones por release. Número de probes que pasaron en la versión anterior y fallan en la actual, o viceversa. Permite hablar del impacto de seguridad de cada cambio en términos cuantitativos.

Mean time to detect new attack pattern. Tiempo entre la publicación de una clase de ataque relevante y su incorporación a las suites automatizadas. Cuanto más corto, mejor preparada está la organización para reaccionar a la deriva del estado del arte.

Cobertura sobre framework de referencia. Porcentaje de categorías OWASP LLM Top 10 o MITRE ATLAS cubiertas por al menos un probe en la suite activa. Útil para reporte a comités y auditorías.

False positive rate revisado y coste por ejecución. Porcentaje de hallazgos que tras revisión humana se clasifican como falso positivo, y tokens consumidos por release. Si la primera métrica crece sin control el programa pierde credibilidad; la segunda es necesaria para justificar el coste ante finance.

Encaje regulatorio EU AI Act, DORA y NIST AI RMF

El EU AI Act exige evaluaciones de robustez, exactitud y ciberseguridad para sistemas de alto riesgo, y para modelos de propósito general con riesgo sistémico añade testing adversarial específico. La automatización es uno de los mecanismos prácticos para demostrar evaluación continua, no solo puntual. Conviene que el programa quede documentado dentro del sistema de gestión de calidad.

DORA, en vigor para entidades financieras de la UE, exige TLPT cada tres años en entidades significativas y un programa amplio de testing de resiliencia. Cuando los sistemas críticos integran IA (scoring, detección de fraude, asistentes a clientes), el componente adversarial automatizado encaja entre ejercicios TLPT formales y alimenta la gestión de riesgo de terceros.

NIST AI RMF, especialmente su perfil para IA generativa, formaliza el rol de evaluaciones continuas dentro de la función Measure. Documentar cobertura, baselines y evolución de métricas facilita conversaciones con clientes y auditores cuando se vende a sectores regulados.

Para organizaciones bajo NIS2 que integran IA en procesos esenciales aplica el mismo principio: las medidas técnicas obligatorias incluyen evaluaciones periódicas de seguridad, y el componente adversarial automatizado es defendible como evidencia de gestión activa del riesgo IA.

Preguntas frecuentes

¿La automatización reemplaza el red team manual?

No. La automatización cubre la base (regresión, suites grandes, frecuencia alta) pero las técnicas más impactantes siguen requiriendo creatividad humana experta. Un programa serio combina automatización continua para regresión y operadores humanos en ejercicios periódicos de profundidad.

¿PyRIT o Garak, cuál elegir?

Garak para empezar rápido con cobertura amplia de probes prefabricados. PyRIT cuando el equipo necesita orquestar escenarios multi-turno propios y mantener catálogos custom alineados con el producto. En programas maduros se usan ambos: Garak para baseline rápido y PyRIT para escenarios profundos. Promptfoo se añade como gate en CI/CD cuando el equipo de desarrollo asume parte del trabajo.

¿Cuánto cuesta integrar AI red team en CI/CD?

Depende del volumen de probes, de los modelos evaluados y del coste por token. Un primer programa razonable (Garak diario sobre staging, Promptfoo en cada PR, PyRIT semanal) suele moverse en presupuestos comparables a un entorno de staging adicional para una aplicación LLM media. Si la organización ejecuta evals contra modelos comerciales premium con catálogos grandes, el coste sube rápido y conviene establecer cuotas y rotación de probes.

¿Qué tasa de falsos positivos es aceptable?

No hay un número universal, pero por debajo del 10 o 15 por ciento la revisión humana sigue siendo manejable. Por encima del 30 por ciento, el equipo deja de prestar atención y el programa pierde valor. La medición del false positive rate revisado debe ser parte del propio programa, no opcional.

¿Un cambio de versión del modelo rompe el baseline?

Sí, casi siempre. Cuando el proveedor publica una nueva versión, conviene tratar el evento como un release: recalibrar baselines, registrar las regresiones (positivas y negativas), documentar los cambios y revisar la suite para detectar comportamientos nuevos que las probes existentes no capturan.

¿Se puede confiar en las evaluaciones del propio proveedor del LLM?

Como insumo, sí. Las evaluaciones públicas de Anthropic, OpenAI, Google DeepMind y otros son útiles para entender capacidades del modelo y para calibrar baselines propios. Como evaluación única, no. La evaluación del proveedor responde a sus criterios y a sus datos, y no sustituye la evaluación con los datos y el contexto del cliente, donde aparecen los riesgos materiales del despliegue concreto.

Recursos relacionados

Programa AI red team continuo con Secra

En Secra ayudamos a organizaciones a montar programas de AI red team automation integrados en sus pipelines de CI/CD, con suites basadas en Garak y PyRIT, gates en CI/CD con Promptfoo, escenarios multi-turno propios alineados con OWASP LLM Top 10 y MITRE ATLAS, y dashboards de regresión adversarial conectados a la gobernanza de IA de la organización. Combinamos la automatización con ejercicios periódicos de red team humano experto para cubrir las técnicas que la suite no detecta.

Si su organización está desplegando IA generativa en flujos materiales y necesita pasar de auditorías puntuales a un programa adversarial continuo, puede contactarnos en secra.es/contacto para una conversación inicial y definir alcance y arquitectura.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

AI bug bounty: programas y recompensas por vulnerabilidades en IA 2026

AI bug bounty programs 2026: OpenAI, Anthropic, Google, Microsoft. Cómo participar, scope, rewards, prompt injection y diferencia vs bug bounty clásico.

2026-06-0814 min
ofensiva

AI Red Teaming: cómo evaluar la seguridad de modelos de IA y LLMs

AI red teaming: metodología, técnicas adversariales contra LLMs (jailbreaking, prompt injection, data exfiltration), frameworks MITRE ATLAS y NIST AI RMF.

2026-06-0815 min
ofensiva

EDR evasion con LLMs: cómo los atacantes usan IA y cómo defenderse 2026

EDR evasion con LLMs: malware polimórfico generado por IA, AMSI bypass, hallucinated payloads, behavior analytics como defensa y validación purple team.

2026-06-0815 min