OpenAI parece haber violado la ley de seguridad de IA de California con el lanzamiento de su último modelo, afirma un organismo de control

OpenAI podría haber violado la nueva ley de seguridad de IA de California con el lanzamiento de su último modelo de codificación, según alegaciones de un grupo de vigilancia de IA.

Una violación podría exponer potencialmente a la empresa a multas de millones de dólares y el caso podría convertirse en una prueba pionera que establezca un precedente para las disposiciones de la nueva ley.

Video recomendado

La controversia se centra en GPT-5.3-Codex, el modelo de codificación más reciente de OpenAI, que fue lanzado la semana pasada. El modelo forma parte de un esfuerzo de OpenAI por recuperar su liderazgo en codificación impulsada por IA y, según datos de referencia publicados por OpenAI, muestra un rendimiento notablemente superior en tareas de codificación en comparación con versiones anteriores de modelos tanto de OpenAI como de competidores como Anthropic. Sin embargo, el modelo también ha planteado preocupaciones de ciberseguridad sin precedentes.

El CEO Sam Altman afirmó que el modelo fue el primero en alcanzar la categoría de “alto” riesgo en ciberseguridad según el marco de preparación de la empresa, un sistema interno de clasificación de riesgos que OpenAI utiliza para los lanzamientos de modelos. Esto significa que OpenAI está clasificando esencialmente el modelo como lo suficientemente capaz en codificación como para potencialmente facilitar daños cibernéticos significativos, especialmente si se automatiza o se usa a gran escala.

El grupo de vigilancia de IA The Midas Project afirma que OpenAI no cumplió con sus propios compromisos de seguridad—que ahora son legalmente vinculantes bajo la ley de California—con el lanzamiento del nuevo modelo de alto riesgo.

La SB 53 de California, que entró en vigor en enero, requiere que las principales empresas de IA publiquen y cumplan con sus propios marcos de seguridad que detallen cómo evitarán riesgos catastróficos—definidos como incidentes que causen más de 50 muertes o más de mil millones de dólares en daños a la propiedad—de sus modelos. También prohíbe a estas empresas hacer declaraciones engañosas sobre el cumplimiento.

El marco de seguridad de OpenAI requiere salvaguardas especiales para modelos con alto riesgo de ciberseguridad que están diseñados para evitar que la IA se vuelva descontrolada y realice acciones como actuar de manera engañosa, sabotear investigaciones de seguridad o ocultar sus capacidades reales. Sin embargo, la empresa no implementó estas salvaguardas antes de lanzar GPT-5.3-Codex.

OpenAI afirma que esto se debe a que la redacción del marco es “ambigua”. En un informe de seguridad que acompaña al modelo, OpenAI dijo que las salvaguardas solo son necesarias cuando el alto riesgo cibernético ocurre “en conjunto con” autonomía a largo plazo—la capacidad de operar de manera independiente durante períodos prolongados. Dado que la empresa cree que GPT-5.3-Codex carece de esta autonomía, afirman que las salvaguardas no eran necesarias.

Un portavoz de OpenAI dijo a Fortune que la compañía estaba “segura de cumplir con las leyes de seguridad de frontera, incluyendo la SB53.”

“GPT-5.3-Codex completó nuestro proceso completo de pruebas y gobernanza, como se detalla en la tarjeta del sistema publicada públicamente, y no demostró capacidades de autonomía a largo plazo basadas en evaluaciones proxy y confirmadas por juicios de expertos internos, incluido nuestro Grupo Asesor de Seguridad,” dijo el portavoz. Añadieron que la empresa tenía la intención de aclarar el lenguaje en el Marco de Preparación actual para comunicar mejor lo que la compañía afirma que fue su intención original, en lugar de cambiar alguna práctica interna.

Sin embargo, algunos investigadores de seguridad han cuestionado esta interpretación. Nathan Calvin, Vicepresidente de Asuntos Estatales y Asesor General de Encode, afirmó en una publicación en X que: “En lugar de admitir que no siguieron su plan o que no lo actualizaron antes del lanzamiento, parece que OpenAI está diciendo que los criterios eran ambiguos. Después de leer los documentos relevantes… no me parecen ambiguos.”

El grupo Midas también afirma que OpenAI no puede probar de manera definitiva que el modelo carece de la autonomía necesaria para las medidas adicionales, ya que el modelo anterior, menos avanzado, ya superó los estándares globales para la realización autónoma de tareas. El grupo argumenta que, incluso si las reglas no estaban claras, OpenAI debería haberlas aclarado antes de lanzar el modelo.

Tyler Johnston, fundador de Midas Project, calificó la posible violación como “especialmente embarazosa dado lo bajo que establece la SB 53: básicamente solo adoptar un plan de seguridad voluntario de su elección y comunicarlo honestamente, cambiándolo según sea necesario, pero sin violar ni mentir al respecto.”

Si se abre una investigación y las alegaciones resultan ser precisas, la SB 53 permite sanciones sustanciales por violaciones, que podrían ascender a millones de dólares dependiendo de la gravedad y duración del incumplimiento. Un representante de la Oficina del Fiscal General de California dijo a Fortune que el departamento estaba “comprometido a hacer cumplir las leyes de nuestro estado, incluyendo aquellas promulgadas para aumentar la transparencia y seguridad en el espacio emergente de IA.” Sin embargo, indicaron que el departamento no podía comentar, ni siquiera confirmar o negar, investigaciones potenciales o en curso.

Únase a nosotros en la Cumbre de Innovación en el Lugar de Trabajo de Fortune del 19 al 20 de mayo de 2026, en Atlanta. La próxima era de innovación laboral ya está aquí—y el antiguo manual está siendo reescrito. En este evento exclusivo y enérgico, los líderes más innovadores del mundo se reunirán para explorar cómo la IA, la humanidad y la estrategia convergen para redefinir, una vez más, el futuro del trabajo. Regístrese ahora.