OpenAI hat kein weiteres Modell für Nutzer vorgestellt. Stattdessen beschreibt das Unternehmen GPT-Red, ein internes Red-Team-Modell, das OpenAIs eigene Systeme angreift.
Der Kontext ist wichtig: Agenten lesen Webseiten, Tools, Dateien und Code. Prompt Injection ist damit nicht mehr nur ein Chatbot-Jailbreak, sondern kann über externe Inhalte in eine Handlungskette gelangen.
"Training strong automated safety red-teamers to improve robustness."
Red Teaming wird Teil des Trainings
GPT-Red wird per Self-Play Reinforcement Learning trainiert. Der Angreifer versucht, einen gültigen Fehler auszulösen. Die Verteidigermodelle sollen die ursprüngliche Aufgabe erledigen und zugleich bösartige Anweisungen in E-Mails, Webseiten, lokalen Dateien oder Tool-Ausgaben ignorieren.
OpenAI berichtet, dass GPT-Red in einer nachgebauten indirekten Prompt-Injection-Arena gegen GPT-5.1 in 84% der Szenarien erfolgreiche Angriffe fand. Menschliche Red-Teamer kamen auf 13%. Die Angriffe wurden anschließend für das Training von GPT-5.6 Sol genutzt, das laut OpenAI im härtesten direkten Prompt-Injection-Benchmark sechsmal weniger Fehler erzeugte als das stärkste Produktionsmodell vier Monate zuvor.
Die realen Fälle sind das Signal
In einem Test gegen einen Verkaufsautomaten-Agenten probierte GPT-Red Angriffe erst in der Simulation aus und übertrug sie dann auf den Produktionsagenten. Der Agent setzte teure Ware auf 0,50 Dollar, bot einen neuen Artikel über 100 Dollar für 0,50 Dollar an und stornierte eine Bestellung eines anderen Kunden.
Ein zweiter Test betraf einen Codex-CLI-Agenten auf Basis von GPT-5.4 mini in 10 zurückgehaltenen Datenabfluss-Szenarien. OpenAI nennt GPT-Red effektiver und token-sparsamer als eine per Prompt gesteuerte GPT-5.5-Basislinie.
Starke Zahlen, begrenzte externe Prüfung
OpenAI sagt, eine Fake-Chain-of-Thought-Angriffsklasse habe bei GPT-5.1 über 95% Erfolg gehabt, liege bei GPT-5.6 Sol aber unter 10%. In einer breiten Robustheitsumgebung scheitert GPT-5.6 Sol nur bei 0,05% der direkten GPT-Red-Injektionen.
GPT-Red bleibt jedoch intern. Externe Forscher können Testverteilung, Fehlerfälle und mögliche Over-Refusal-Kosten noch nicht reproduzieren. Für Entwickler bleibt die praktische Lehre: Berechtigungen trennen, Tool-Allowlists nutzen, sensible Aktionen bestätigen lassen, Audit-Logs führen und Datenfreigaben minimieren.
Quellen: OpenAI GPT-Red Technical Note, Help Net Security, SiliconANGLE, CocoLoop; geprüft wurden 84%/13%, sechsfache Fehlerreduktion, über 95% auf unter 10%, 0,05% Fehlerrate sowie die Vendy- und Codex-CLI-Fälle.