OpenAI không công bố một mô hình mới cho người dùng. Họ giới thiệu GPT-Red, một mô hình red team nội bộ được tạo ra để tấn công chính các mô hình của OpenAI.
Khi agent có thể đọc web, gọi công cụ, chạm vào file và sửa mã, prompt injection không còn là chuyện bẻ khóa hộp chat. Nội dung bên ngoài có thể đi thẳng vào chuỗi hành động của agent.
"Training strong automated safety red-teamers to improve robustness."
Red team bước vào vòng huấn luyện
GPT-Red được huấn luyện bằng self-play reinforcement learning. Bên tấn công cố tạo lỗi hợp lệ, còn mô hình phòng thủ phải hoàn thành tác vụ ban đầu mà không nghe theo chỉ dẫn độc hại ẩn trong email, trang web, file cục bộ hoặc kết quả công cụ.
OpenAI cho biết trong bài kiểm tra prompt injection gián tiếp tái tạo trên GPT-5.1, GPT-Red tìm được đường tấn công thành công ở 84% kịch bản, so với 13% của red team con người. Các mẫu tấn công đó được đưa vào huấn luyện GPT-5.6 Sol, giúp số lần thất bại trên benchmark prompt injection trực tiếp khó nhất giảm 6 lần so với mô hình sản xuất mạnh nhất bốn tháng trước.
Ca máy bán hàng và Codex mới đáng chú ý
Ở thử nghiệm agent máy bán hàng, GPT-Red thử trong mô phỏng rồi chuyển sang agent sản xuất, khiến hệ thống đổi một món đắt tiền xuống 0,50 USD, thêm một món hơn 100 USD nhưng bán 0,50 USD, và hủy đơn của khách khác.
OpenAI cũng cho GPT-Red tấn công một Codex CLI agent chạy trên GPT-5.4 mini trong 10 kịch bản rò rỉ dữ liệu giữ lại. Công ty nói GPT-Red hiệu quả hơn và tiết kiệm token hơn baseline GPT-5.5 dùng prompt.
Số liệu mạnh, kiểm chứng ngoài còn thiếu
OpenAI nói một lớp tấn công Fake Chain-of-Thought từng đạt trên 95% với GPT-5.1, nay xuống dưới 10% với GPT-5.6 Sol. Trong một tập môi trường robustness rộng, GPT-5.6 Sol chỉ thất bại 0,05% trước các tấn công trực tiếp của GPT-Red.
Dù vậy GPT-Red vẫn là mô hình nội bộ. Bên ngoài chưa thể tái lập phân bố kiểm thử, mẫu lỗi hay đánh đổi với over-refusal. Với nhà phát triển, bài học thực tế là cần ranh giới quyền hạn, allowlist công cụ, xác nhận hành động nhạy cảm, nhật ký kiểm toán và giảm tối đa dữ liệu lộ ra cho agent.
Nguồn: ghi chú kỹ thuật OpenAI GPT-Red, Help Net Security, SiliconANGLE, CocoLoop; đối chiếu 84%/13%, giảm lỗi 6 lần, từ trên 95% xuống dưới 10%, tỷ lệ lỗi 0,05%, cùng hai ca Vendy và Codex CLI.