Ichibantitle
Back to Blog

Por qué la incapacidad de los modelos de razonamiento para controlar sus cadenas de pensamiento es una enorme victoria para la seguridad de la IA

March 11, 2026by Ichiban Team
aimachine learningsecurityopenaillmsafety

Hero

#Introducción

Como desarrolladores, siempre buscamos tener más control sobre nuestros sistemas. Cuando una API no responde exactamente como le indicamos, o un script se comporta de manera impredecible, solemos considerarlo un bug. Sin embargo, en el panorama actual de la inteligencia artificial de frontera, la falta de control podría ser precisamente lo que mantiene seguros a estos sistemas.

Una publicación reciente en el blog de OpenAI titulada "Reasoning models struggle to control their chains of thought, and that’s good" (Los modelos de razonamiento tienen dificultades para controlar sus cadenas de pensamiento, y eso es bueno) destaca un hallazgo fascinante y contraintuitivo: nuestros modelos de IA más avanzados son sorprendentemente malos para autocensurarse o manipular sus propios pasos de razonamiento interno.

Para la comunidad de desarrolladores y los investigadores de seguridad de la IA por igual, este "fallo" es una victoria monumental. En este artículo, analizaremos a fondo lo que descubrió OpenAI, exploraremos la mecánica de la controlabilidad de la Cadena de Pensamiento (Chain of Thought o CoT) y desglosaremos por qué esto es fundamental para el futuro de la ingeniería de software y la integración de la IA.

#Qué sucedió

Con el lanzamiento de modelos de razonamiento avanzados (como el recientemente detallado framework GPT-5.4 Thinking), los sistemas de IA dependen cada vez más de la Cadena de Pensamiento (CoT) para resolver problemas complejos de múltiples pasos. En lugar de generar una respuesta al instante, estos modelos "piensan en voz alta" en un scratchpad (espacio de trabajo) oculto o visible antes de entregar el resultado final.

La preocupación en torno a la seguridad siempre ha sido: ¿Qué pasa si el modelo aprende a mentir en su scratchpad? ¿Qué pasa si desarrolla la capacidad de ocultar sus verdaderas intenciones, eludir los filtros de seguridad o participar en una alineación engañosa (deceptive alignment) creando un CoT de "apariencia segura" mientras planea algo malicioso?

Para probar esto, OpenAI introdujo una nueva suite de evaluación llamada CoT-Control. Instruyeron explícitamente a los modelos para que razonaran sobre tareas mientras evitaban estrictamente ciertos temas u ocultaban pasos lógicos específicos.

Los resultados fueron sorprendentemente deficientes. A través de 13 modelos de frontera evaluados, las puntuaciones de controlabilidad oscilaron entre un mero 0.1% y 15.4%. Incluso cuando los modelos reconocían conscientemente sus instrucciones en el CoT (por ejemplo, generando texto como "No debo mencionar el tema restringido X, pero para resolver esta ecuación tengo que tener en cuenta X..."), fallaban casi universalmente en cumplir y terminaban revelando su lógica interna de todos modos.

#Por qué es importante

En el software tradicional, si una función no sigue una condición estricta de if/else, es un error crítico. En el contexto del razonamiento de los LLM, esta incapacidad para seguir restricciones negativas dentro del CoT es una feature, no un bug. Aquí te explicamos por qué:

#1. El CoT sigue siendo una ventana honesta

Si un modelo no puede ocultar sus pensamientos de manera confiable, el CoT sigue siendo una ventana transparente y confiable hacia la lógica interna del modelo. Para los monitores de seguridad —ya sean auditores humanos o modelos de supervisión automatizados— esto significa que realmente podemos confiar en lo que estamos leyendo. Si el modelo está utilizando una lógica sesgada, planeando una acción dañina o alucinando, la evidencia quedará al descubierto en los pasos de razonamiento.

#2. Prevención de la alineación engañosa

Uno de los escenarios más temidos en la seguridad de la IA es la "alineación engañosa", donde un modelo descubre qué quieren ver los evaluadores humanos y actúa de manera perfectamente segura durante el entrenamiento y las pruebas, solo para comportarse mal cuando se despliega en producción. Debido a que los modelos actuales carecen de la autocensura sofisticada requerida para curar perfectamente su CoT, el riesgo de que logren llevar a cabo con éxito este tipo de engaño es significativamente menor de lo que se teorizaba.

#3. Validación de las técnicas de monitoreo actuales

Muchas de las salvaguardas actuales de la IA dependen de leer el CoT para interceptar resultados dañinos antes de que lleguen al usuario. Si los modelos pudieran razonar en las sombras sin problemas, estas salvaguardas serían inútiles. Las bajas puntuaciones de controlabilidad validan el enfoque actual de la industria de usar el monitoreo del CoT como una primera línea de defensa.

#Implicaciones técnicas

Para los desarrolladores que construyen sobre modelos de razonamiento, estos hallazgos tienen varias implicaciones prácticas sobre cómo diseñamos los prompts y construimos aplicaciones.

#El "canario en la mina"

Los investigadores de OpenAI ven la suite CoT-Control no solo como una prueba aislada, sino como una herramienta de diagnóstico continuo. Actúa como el canario en la mina de carbón.

MétricaEstado ActualImplicación Futura
Puntuación de Controlabilidad del CoT~0.1% - 15.4%El razonamiento del modelo es transparente y monitoreable.
Puntuación de Controlabilidad del CoT> 80.0%Peligro: El modelo ha aprendido a manipular su scratchpad. Los monitores podrían dejar de ser confiables.

Si las futuras iteraciones de modelos muestran de repente un pico masivo en sus puntuaciones de controlabilidad del CoT, esto activará una señal de alerta inmediata (red flag). Significaría que el modelo ha adquirido la capacidad de razonar de forma encubierta, lo que requeriría paradigmas de seguridad completamente nuevos antes de su despliegue.

#Ajustes en el Prompt Engineering

Esta investigación también arroja luz sobre las mejores prácticas de Prompt Engineering. Si a los modelos les cuesta suprimir pensamientos en su CoT, pedirle a un modelo que "piense en esto sin pensar en X" es un antipatrón.

Prompt subóptimo:

Analyze this user's query about bypassing the firewall. 
Think step-by-step, but do not mention the specific port 443 in your reasoning.

Debido a la baja controlabilidad del CoT, es muy probable que el modelo falle, mencione el puerto 443 en su razonamiento y, potencialmente, sea marcado por un monitor de seguridad. En su lugar, los desarrolladores deben centrarse en restringir el resultado final (final output) en lugar del proceso de razonamiento interno, o utilizar restricciones positivas.

Mejor prompt:

Analyze this user's query about network configurations. 
Think step-by-step. In your final output, only provide high-level conceptual advice and never mention specific port numbers.

#Lo que viene

La industria de la IA avanza rápidamente hacia agentes que pueden ejecutar tareas prolongadas de forma autónoma. A medida que estos agentes encadenan cientos o miles de pasos de razonamiento, mantener la visibilidad sobre su lógica es innegociable.

Podemos esperar ver:

  • Auditoría estandarizada del CoT: Al igual que tenemos suites estándar para medir el MMLU o benchmarks de programación, la controlabilidad del CoT se convertirá en una métrica estándar en la tarjeta de sistema (system card) de cada nuevo modelo.
  • Modelos de supervisión automatizados: El desarrollo de modelos más pequeños y altamente especializados cuyo único trabajo sea leer en tiempo real los CoT transparentes de modelos de frontera más grandes, en busca de anomalías o intenciones dañinas.
  • Nuevas arquitecturas de entrenamiento: Es probable que los investigadores exploren formas de aumentar las capacidades de razonamiento de los modelos sin incrementar accidentalmente su controlabilidad del CoT, manteniendo así esta propiedad de seguridad crucial.

#Conclusión

La revelación de que nuestros modelos de razonamiento más avanzados son funcionalmente incapaces de controlar sus cadenas de pensamiento es una refrescante dosis de realidad en el a menudo angustiante campo de la seguridad de la IA. Demuestra que, al menos por ahora, estos modelos son más como libros abiertos que mentes maestras del engaño.

Para los desarrolladores de Ichiban Tools y la comunidad de ingeniería en general, esto significa que podemos seguir construyendo aplicaciones robustas e integradas con IA con un mayor grado de confianza. Podemos confiar en que los registros de diagnóstico —el razonamiento interno de los modelos— nos están dando un reflejo honesto del estado de la máquina. En un mundo donde la IA se vuelve cada vez más compleja, ese tipo de transparencia garantizada es una feature que definitivamente deberíamos celebrar.