OpenAI n'a pas annoncé un nouveau modèle destiné aux utilisateurs. L'entreprise a décrit GPT-Red, un modèle interne de red team conçu pour attaquer ses propres systèmes.
Le sujet compte parce que les agents lisent désormais des pages web, des outils, des fichiers et du code. La prompt injection n'est plus seulement un jailbreak de chatbot; elle peut entrer par le contenu que l'agent doit traiter.
"Training strong automated safety red-teamers to improve robustness."
La red team entre dans l'entraînement
GPT-Red est entraîné par self-play reinforcement learning. L'attaquant cherche à déclencher un échec valide; les modèles défenseurs doivent terminer la tâche initiale sans suivre les instructions malveillantes cachées dans des e-mails, pages web, fichiers locaux ou sorties d'outils.
OpenAI indique que GPT-Red a trouvé des attaques réussies dans 84% des scénarios d'une arène répliquée de prompt injection indirecte contre GPT-5.1. Les red teamers humains étaient à 13%. Ces attaques ont ensuite servi à entraîner GPT-5.6 Sol, qui aurait produit six fois moins d'échecs sur le benchmark direct le plus difficile que le meilleur modèle de production quatre mois plus tôt.
Les cas réalistes donnent l'alerte
Dans un test contre un agent de distributeur automatique, GPT-Red a d'abord exploré les attaques en simulation, puis a poussé l'agent de production à passer un produit coûteux à 0,50 dollar, à ajouter un article de plus de 100 dollars pour 0,50 dollar, et à annuler la commande d'un autre client.
Un autre cas visait un agent Codex CLI basé sur GPT-5.4 mini dans 10 scénarios réservés d'exfiltration de données. OpenAI dit que GPT-Red a été plus efficace et plus économe en tokens qu'une baseline GPT-5.5 pilotée par prompt.
Des chiffres forts, une vérification encore fermée
OpenAI affirme qu'une classe d'attaques Fake Chain-of-Thought réussissait à plus de 95% sur GPT-5.1 et passe sous 10% sur GPT-5.6 Sol. Dans un large ensemble de robustesse, le taux d'échec face aux injections directes de GPT-Red est de 0,05%.
GPT-Red reste toutefois interne. Les chercheurs externes ne peuvent pas encore reproduire la distribution des tests, les échecs ou le coût en refus excessifs. Pour les développeurs, la leçon pratique reste l'architecture: limites de permissions, allowlists d'outils, confirmation des actions sensibles, journaux d'audit et exposition minimale des données.
Sources : note technique OpenAI GPT-Red, Help Net Security, SiliconANGLE, CocoLoop ; vérification de 84%/13%, division par six des échecs, plus de 95% vers moins de 10%, taux d'échec de 0,05% et cas Vendy/Codex CLI.