GPT-Red chega a 84% em teste red team

A OpenAI não anunciou outro modelo para usuários. Ela descreveu o GPT-Red, um modelo interno de red team criado para atacar os próprios sistemas da empresa.

Isso importa porque agentes já leem páginas, ferramentas, arquivos e código. Prompt injection deixou de ser apenas jailbreak em chat; pode entrar pelo conteúdo que o agente precisa processar.

"Training strong automated safety red-teamers to improve robustness."

Red team dentro do treinamento

O GPT-Red é treinado com self-play reinforcement learning. O atacante tenta provocar uma falha válida; os modelos defensores tentam cumprir a tarefa original sem obedecer instruções maliciosas escondidas em e-mails, páginas, arquivos locais ou respostas de ferramentas.

A OpenAI afirma que, em uma arena replicada de prompt injection indireta contra o GPT-5.1, o GPT-Red encontrou ataques bem-sucedidos em 84% dos cenários. Red teamers humanos chegaram a 13%. Esses ataques foram usados no treinamento do GPT-5.6 Sol, que teria seis vezes menos falhas no benchmark direto mais difícil do que o melhor modelo de produção de quatro meses antes.

Os casos reais dão o alerta

Em um teste com um agente de máquina de vendas, o GPT-Red ensaiou ataques em simulação e depois fez o agente em produção reduzir um item caro para US$ 0,50, cadastrar um item acima de US$ 100 por US$ 0,50 e cancelar o pedido de outro cliente.

Outro caso atacou um agente Codex CLI baseado em GPT-5.4 mini em 10 cenários reservados de exfiltração de dados. A OpenAI diz que o GPT-Red foi mais eficaz e mais econômico em tokens do que uma baseline GPT-5.5 guiada por prompt.

Números fortes, verificação ainda fechada

Segundo a OpenAI, uma classe de ataques Fake Chain-of-Thought tinha mais de 95% de sucesso no GPT-5.1 e caiu para menos de 10% no GPT-5.6 Sol. Em um conjunto amplo de robustez, a taxa de falha contra injeções diretas do GPT-Red ficou em 0,05%.

Mesmo assim, o GPT-Red é interno. Pesquisadores externos ainda não conseguem reproduzir a distribuição de testes, os exemplos de falha ou o custo em recusas excessivas. Para equipes de produto, a lição prática é usar limites de permissão, allowlists de ferramentas, confirmação para ações sensíveis, logs de auditoria e exposição mínima de dados.

Fontes: nota técnica OpenAI GPT-Red, Help Net Security, SiliconANGLE, CocoLoop; verificados 84%/13%, redução de falhas em seis vezes, acima de 95% para abaixo de 10%, taxa de falha de 0,05% e os casos Vendy/Codex CLI.