OpenAI が発表したのは、利用者向けの新モデルではない。GPT-Red は、OpenAI 自身のモデルを攻撃するための内部向けレッドチームモデルだ。
Agent がウェブページ、ツール、ファイル、コードを読むようになると、Prompt Injection はチャット欄の脱獄にとどまらない。処理対象の文章そのものが攻撃経路になる。
"Training strong automated safety red-teamers to improve robustness."
訓練ループに入るレッドチーム
GPT-Red は self-play 強化学習で訓練される。攻撃側は失敗を引き出し、防御側のモデルは、メール、ウェブページ、ローカルファイル、ツール出力に隠れた悪意ある指示を無視しながら元のタスクを終える。
OpenAI によると、GPT-5.1 を対象にした間接 Prompt Injection の再現テストで、GPT-Red は 84% のシナリオで攻撃に成功した。人間のレッドチームは 13% だった。生成された攻撃サンプルを GPT-5.6 Sol の訓練に使った結果、最難関の直接 Prompt Injection ベンチマークで、4 か月前の最強本番モデルより失敗が 6 分の 1 になったという。
現実的な事例が警告になる
自動販売機 Agent の事例では、GPT-Red はシミュレーションで攻撃を試した後、本番 Agent に高額商品を 0.50 ドルに変更させ、100 ドル超の商品を 0.50 ドルで追加させ、別の顧客の注文を取り消させた。
Codex CLI Agent に対する 10 件のデータ流出タスクでも、GPT-Red はプロンプトで動かした GPT-5.5 ベースラインより効果的で、使用トークンも少なかったとされる。
数字は強いが、外部検証はまだ薄い
OpenAI は、Fake Chain-of-Thought 攻撃が GPT-5.1 では 95% 超の成功率だった一方、GPT-5.6 Sol では 10% 未満になったと説明する。広いロバスト性環境では、GPT-Red の直接注入に対する失敗率は 0.05% だった。
ただし GPT-Red は内部モデルだ。外部研究者は、テスト分布、失敗例、過剰拒否とのトレードオフをまだ再現できない。開発者が取るべき教訓は、権限境界、ツールの allowlist、重要操作の確認、監査ログ、最小限のデータ公開を設計に入れることだ。
参考ソース:OpenAI GPT-Red 技術ノート、Help Net Security、SiliconANGLE、CocoLoop。84%/13%、失敗 6 分の 1、95% 超から 10% 未満、0.05% 失敗率、Vendy と Codex CLI の事例を確認した。