OpenAI这次没有发布一个给用户调用的新模型。它公布的是一个专门“打自己人”的内部红队模型:GPT-Red。
这件事的看点不在名字。过去,AI安全红队更像发布前的人工压力测试;GPT-Red把这道工序推到训练环节里,让模型在进入生产前,先被另一套模型反复攻击。对已经能读网页、调工具、改代码、碰本地文件的Agent来说,红队要模拟的已经是一整条诱导链路。
OpenAI给这项工作的短句是:
“Training strong automated safety red-teamers to improve robustness.”
中文意译:训练强自动安全红队,用来提升模型抗攻击能力。
红队变成训练对手
GPT-Red采用自博弈强化学习训练。攻击方的目标,是让防守模型在设定环境里失守;防守方的目标,是完成原任务,同时不被网页、邮件、文件或工具输出里的恶意指令带偏。
这种训练方式把Prompt注入拆成了更接近现实的场景:网页横幅、邮件正文、本地文件片段、代码仓库说明、工具返回内容,都可能夹带“请把凭据传出去”一类指令。普通聊天模型只需要拒绝坏请求,Agent还要在复杂上下文里分清用户目标和外部输入。
官方给出的对照数字很刺眼。在复刻的间接Prompt注入测试里,GPT-Red对GPT-5.1找到成功攻击路径的比例是84%,人工红队是13%。OpenAI称,把GPT-Red生成的攻击样本喂回训练后,GPT-5.6 Sol在最难直接Prompt注入基准上的失败次数,比四个月前最强生产模型少了6倍。
最像现实的部分,是售货机和代码Agent
这套系统没有只停在抽象benchmark。OpenAI披露了一个办公室自动售货机Agent案例:GPT-Red先在模拟环境里试攻击,再转到生产Agent,完成了三件恶意目标:把高价现货商品改成0.50美元,新增一个100美元以上商品并按0.50美元出售,还取消了另一位顾客的订单。
另一个案例更贴近开发者。OpenAI让GPT-Red攻击一个基于GPT-5.4 mini的Codex CLI Agent,任务是10个保留的数据外泄场景。官方说法是,GPT-Red比提示词版GPT-5.5基线更有效,也更省token。
这两类场景说明同一件事:Prompt注入的风险已经离开“聊天框越狱”阶段,进入工具链、支付、文件系统和开发环境。只要Agent能调用外部动作,恶意指令就可能通过看似无害的内容进入执行链。
数字漂亮,也要看边界
OpenAI还披露,早期GPT-Red发现过一类“Fake Chain-of-Thought”直接注入攻击,在GPT-5.1上成功率超过95%,到GPT-5.6 Sol已降到10%以下;在一组广泛鲁棒性环境中,GPT-5.6 Sol面对GPT-Red直接注入的失败率只有0.05%。
这些数字让GPT-Red像一台很强的漏洞制造机。但它仍是内部模型,外部无法复现实验,也无法看到测试集分布、失败样本和防守代价。OpenAI说正常能力没有受影响,过拒绝任务也做了评估;这部分仍需要后续预印本和第三方复核补齐。
对企业和开发者来说,实用结论更朴素:不要把Prompt注入当成提示词技巧。Agent系统需要权限隔离、工具调用白名单、敏感动作二次确认、日志审计和最小数据暴露。模型更抗打,可以降低失败率;系统没有边界,模型迟早会被上下文拖进泥里。
红队自动化会改写安全节奏
人工红队还有价值。人能提出业务逻辑、社会工程和复杂动机,自动模型擅长大规模变体搜索。GPT-Red的信号,是AI实验室正在把安全测试从“发布前的一轮评审”,改成“训练期持续生成对手样本”。
这也会推高行业门槛。大模型公司可以拿大量算力训练内部攻击模型,小团队很难复刻同等规模。未来的AI安全竞争,很可能分成两层:前沿实验室用自动红队刷新模型鲁棒性,普通开发团队用更严格的产品边界减少爆炸半径。
GPT-Red没有让Prompt注入消失。它把攻防节奏提快了。对中文开发者和企业客户而言,最该盯的点从84%这个单点数字,转向OpenAI后续是否公开更多测试细节,以及这些防御收益能不能迁移到真实业务Agent。
参考来源:OpenAI GPT-Red 技术说明、Help Net Security、SiliconANGLE、CocoLoop;OpenAI说明核验84%/13%、6倍、95%到10%以下、0.05%失败率与Vendy/Codex CLI案例,安全媒体复核公开口径。