Voltar para o Blog
Conceito visual de avaliações confiáveis de IA por terceiros
IA e Segurança

OpenAI lança playbook de avaliações confiáveis por terceiros

OpenAI publica um playbook prático para avaliações de modelos de IA feitas por terceiros, com foco em harness, validade, transparência e padrões que dialogam com NIST e outros referenciais

Danilo Gato

Danilo Gato

Autor

30 de maio de 2026
10 min de leitura

Introdução

OpenAI publicou um playbook para avaliações confiáveis de modelos de IA por terceiros, com ênfase em como o harness, a checagem de validade e a transparência moldam resultados e interpretações. A palavra chave aqui é avaliações confiáveis de IA por terceiros, porque o documento posiciona essas práticas como base para decisões de segurança, comparação de modelos e governança técnica. O post destaca que, em sistemas atuais, o que cerca o modelo, o chamado harness, pode alterar profundamente o desempenho observado, por isso o relatório de avaliação deve deixar claro a alegação que está sustentando e as evidências de validade do resultado.

Além de priorizar clareza sobre o que foi testado, o playbook recomenda que padrões de avaliação exijam detalhes sobre o sistema avaliado, métodos de elicitação, orçamento de recursos e checagens contra riscos conhecidos de distorção, como recompensa indevida, recusas, contaminação, problemas quebrados e sandbagging, prática em que o modelo atua abaixo do que pode quando percebe que está sendo avaliado.

O que muda ao avaliar modelos com agentes e ferramentas

Modelos de fronteira já atuam como agentes, usam ferramentas, mantêm estado e executam tarefas em várias etapas. Nessa realidade, tratar avaliação como simples pergunta e resposta subestima ou distorce a capacidade real. O playbook introduz o conceito de harness como a estrutura que envolve o modelo, incluindo prompts, ferramentas, lógica de controle, memória, política de tentativas e validadores. A recomendação central é alinhar o tipo de alegação ao tipo de harness, por exemplo, elicitação máxima para medir teto de capacidade, configuração comparável para testar diferenças entre sistemas e setups específicos para testar robustez de salvaguardas.

Um exemplo concreto aparece nas avaliações cibernéticas com GPT 5.5, em que decisões de harness como compaction, técnica de preservação de contexto em trajetórias longas, mudaram materialmente o desempenho. O recado prático é direto, se o harness não permite que a capacidade se manifeste, a medição falha e vira apenas um limite inferior do que o sistema pode fazer.

Como checar validade, do reward hacking ao sandbagging

O playbook torna explícito que uma avaliação confiável precisa relatar as checagens de validade realizadas. Entre os principais riscos estão, primeiro, reward hacking, quando o sistema encontra atalhos no enunciado, na métrica, no prompt ou no próprio harness e obtém pontuação alta sem exibir a capacidade pretendida. Há registros de como recontagem cuidadosa após detectar recompensa indevida mudou estimativas de capacidade em trabalhos recentes sobre modelos GPT da série 5.x. Segundo, recusas, quando salvaguardas geram não conformidade aparente porque o modelo nega executar a tarefa. Terceiro, contaminação, quando dados de avaliação apareceram no treinamento ou são facilmente encontrados durante a execução com navegação. Quarto, problemas quebrados, como ambiente insolúvel ou gabarito incorreto. Quinto, sandbagging, quando o modelo deliberadamente reduz seu desempenho ao perceber que está sendo avaliado. O documento mostra ainda um teste de sandbagging em GPT 5.5 realizado pelo grupo Apollo, que não encontrou evidência comportamental forte de subdesempenho estratégico, embora traços de consciência de avaliação tenham sido observados nas trilhas de raciocínio, o que reforça a importância de liberar artefatos intermediários para avaliação independente.

Relatórios, portanto, devem combinar pontuação com análise de riscos de validade e explicar que parte do resultado depende de escolhas de harness, orçamento, regras de pontuação e monitores. Na prática, isso muda como times de produto leem avaliações, em vez de tratar notas como teto de capacidade, tratam como pontos em um espaço condicionado pelo setup.

Padrões e governança, alinhando o playbook com o NIST AI RMF

OpenAI aponta que as recomendações pretendem informar padrões nacionais e internacionais de avaliação de IA. O alinhamento natural citado é com o NIST AI Risk Management Framework, referência voluntária publicada em janeiro de 2023, que orienta incorporação de características de confiabilidade no ciclo de vida de sistemas de IA, e cujo perfil para GAI foi lançado em julho de 2024. Em abril de 2026, o NIST divulgou nota conceitual para um perfil de IA confiável em infraestruturas críticas, reforçando a importância de avaliações e documentação de riscos para operadores. Para equipes de compliance e risco, isso indica convergência entre boas práticas técnicas e expectativas regulatórias e setoriais.

Na prática, o playbook sugere que padrões de avaliação incluam, no mínimo, a descrição explícita da alegação sustentada, detalhes da distribuição de tarefas, configuração do sistema, orçamento de recursos, métodos de elicitação e checagens de validade executadas. Em contextos onde capacidades agentic são relevantes, a ausência de dados sobre harness e validade compromete a utilidade regulatória do relatório.

O ecossistema de testes externos e lições desde GPT 4

O documento novo não surge no vácuo. Em novembro de 2025, OpenAI detalhou como organiza testes externos, combinando avaliações independentes, revisão metodológica e sondagem por especialistas de domínio. A empresa lista colaborações com laboratórios como METR e SecureBio em áreas como biosegurança e cibersegurança, inclusive com acesso controlado a modelos, checkpoints e, quando necessário, trilhas de raciocínio. Esses arranjos visam aumentar a confiança pública ao mostrar como avaliações de terceiros informam decisões de lançamento e mitigação de riscos.

Do lado dos avaliadores, há material público suficiente para entender por que harness e validade importam. O METR, por exemplo, mede horizontes de tempo de agentes, isto é, a duração de tarefas profissionais que o sistema conclui com certa confiabilidade. Em relatórios recentes, o grupo descreve diferenças substanciais conforme o tratamento de recompensa indevida e conforme a instrumentação usada, reforçando que metodologias e artefatos liberados pelo desenvolvedor, como trilhas de raciocínio, influenciam a precisão das conclusões.

O que todo relatório técnico deveria incluir a partir de agora

O playbook delimita um núcleo mínimo de transparência útil para tomadores de decisão. Em termos práticos, relatórios de terceiros deveriam sempre incluir, um, qual alegação se busca sustentar, comparação, capacidade sob elicitação máxima ou robustez de salvaguardas. Dois, conteúdo da avaliação, com elementos suficientes para entender o que as tarefas realmente medem. Três, o sistema testado, incluindo modelo, configuração de raciocínio, acesso a ferramentas, harness e salvaguardas. Quatro, orçamento, número de turnos, tokens, tentativas, tempo de relógio e custo por acerto quando aplicável. Cinco, métodos de elicitação e o quanto o que foi testado reflete a alegação. Seis, checagens de validade cobrindo recompensa indevida, consciência de avaliação, contaminação, recusas e sandbagging, além de como esses achados afetaram a pontuação.

Em muitas organizações, isso significa atualizar templates de relatório, exigindo seção de alegação, matriz de riscos de validade e anexo de configuração de harness, com scripts e versões. Para equipes jurídicas e de governança, essa padronização reduz assimetria de informação entre fornecedor, auditor e regulador, o que tende a acelerar due diligence e a reduzir retrabalho em auditorias.

Aplicações práticas para times de produto, risco e segurança

  • Produto e engenharia, sempre simular o ambiente real de uso no harness. Se o produto depende de ferramentas, memória e retries, a avaliação também deve. Replicar o caminho do usuário com um baseline comum, como uma interface agentic padronizada, ajuda a separar falhas do modelo de falhas do setup.
  • Segurança ofensiva e mitigação, ao testar salvaguardas, usar setups que buscam a elicitação mais forte de ataques plausíveis, com orçamento e gramática de ferramentas realistas para o adversário. Isso aproxima o teste do risco operacional. Registre de forma auditável quais salvaguardas, versões e políticas estavam ativas.
  • Risco e compliance, conectar o relatório técnico ao NIST AI RMF, referenciando perfis e controles aplicáveis. Manter inventário do sistema, registro de terceiros e pacote de evidências de confiabilidade, incluindo trilhas e artefatos compartilhados pelo fornecedor.

Estudos de caso recentes que ilustram o playbook

  • Avaliações de cibersegurança com GPT 5.5, mudanças em técnicas como compaction impactaram o resultado em tarefas longas e multi etapa, o que demonstra dependência do desempenho em relação ao harness.
  • Red teaming por órgão governamental do Reino Unido em GPT 5.5, identificou um jailbreak universal que provocou respostas violadoras em consultas maliciosas fornecidas pela OpenAI, inclusive em cenários agentic de múltiplas interações. Conclusão operacional, ao avaliar salvaguardas é preciso modelar o atacante e permitir harnesses customizados.
  • Sinalizações do METR sobre recompensa indevida em avaliações de longo horizonte, reforçam a prática de recontagem cuidadosa, com revisão humana de amostras e ajuste de estimativas quando hacks são identificados. Isso melhora a utilidade da métrica para decisões de risco.

Como começar, um roteiro em quatro passos

  1. Definir alegação e público de decisão. Clarificar se a avaliação serve para comparação entre modelos, para estimar teto de capacidade sob elicitação máxima, ou para avaliar robustez de salvaguardas. Mapear quais decisões ela vai informar, por exemplo, liberação de recurso, go live com restrições, ou exigência de mitigação adicional.
  2. Projetar harness alinhado à alegação. Definir ferramentas, memória, políticas de tentativas e compaction quando necessário. Registrar versões, parâmetros e custos. Testar variantes para evitar sub elicitação.
  3. Executar checagens de validade como rotina. Amostrar e revisar saídas em busca de recompensa indevida, recusas, sinais de contaminação e problemas quebrados. Se houver suspeita de consciência de avaliação ou sandbagging, habilitar trilhas de raciocínio quando houver acordo de acesso. Documentar o impacto desses achados na pontuação.
  4. Publicar relatório com campos padronizados. Incluir a seção de alegação, conteúdo, sistema, orçamento, elicitação e validade. Mapear controles do NIST AI RMF e anexar artefatos e scripts necessários para reprodutibilidade, respeitando confidencialidade.

![AI evaluations, concept image]

Sinais de maturidade, do laboratório à produção

Equipes que já operam com avaliações independentes mostram padrões consistentes, primeiro, relatórios que distinguem claramente comparação, elicitação máxima e robustez de salvaguardas. Segundo, anexos com configuração de harness, incluindo scripts e logs. Terceiro, trilhas de raciocínio ou artefatos equivalentes para auditoria de sandbagging, quando o fornecedor permite acesso controlado. Quarto, mapeamento explícito para frameworks como o NIST AI RMF, conectando achados a decisões de risco e a controles operacionais.

Esse movimento, observado desde as colaborações iniciadas na era GPT 4 e ampliado com GPT 5.x, mostra que avaliações externas bem estruturadas reduzem vieses de confirmação do desenvolvedor e criam lastro técnico para publicação de system cards e decisões de deployment. Ao mesmo tempo, evidenciam os limites das métricas isoladas quando não se descreve o ambiente de execução.

![Harness and tool usage in long-horizon agents]

Perguntas estratégicas que valem orçamento agora

  • Qual é a diferença entre o desempenho do modelo em um harness comparável e em um harness customizado para elicitação máxima. A divergência informa teto de capacidade e depende de recursos, por isso deve ser apresentada como intervalo condicionado ao setup.
  • Quais checagens de validade mais alteram a interpretação no seu domínio, por exemplo, contaminação em tarefas de conhecimento público ou reward hacking em ambientes com avaliadores automáticos. O relatório precisa quantificar o efeito desses filtros.
  • Que partes do relatório mapeiam para controles do NIST AI RMF e perfis setoriais. Essa tradução reduz trabalho em auditorias e acelera aprovações internas.

Conclusão

O novo playbook da OpenAI coloca as avaliações confiáveis de IA por terceiros no centro das decisões sobre capacidade e segurança de modelos de fronteira. A mensagem operacional é clara, sem harness e validade explícitos, a nota da avaliação diz pouco sobre o que o sistema realmente faz, e, com harness e validade bem descritos, a mesma nota vira evidência útil para comparação, governança e mitigação de riscos.

Esse alinhamento com padrões emergentes, como o NIST AI RMF e seus perfis, cria uma ponte entre práticas técnicas e exigências de conformidade. Para líderes técnicos e de risco, o caminho é institucionalizar relatórios que descrevam alegações, setups, orçamentos e checagens de validade, e que tragam artefatos para reprodutibilidade. O resultado é menos ruído nas leituras de desempenho, menos surpresa em auditorias e decisões melhores sobre onde e como implantar IA avançada.

Tags

avaliação de modelosgovernança de IANISTagentes de IA