GPT-Red紅隊命中率84%

OpenAI 這次公開的並非給使用者呼叫的新模型。GPT-Red 是一個專門攻擊自家模型的內部紅隊模型。

Agent 已經會讀網頁、調工具、碰檔案和改程式碼,Prompt 注入也就不再只是聊天框越獄。外部內容本身可能進入執行鏈路。

"Training strong automated safety red-teamers to improve robustness."

紅隊進入訓練迴路

GPT-Red 透過 self-play 強化學習訓練。攻擊方試圖引出有效失敗,防守模型則要完成原任務,同時避開郵件、網頁、本機檔案或工具輸出中的惡意指令。

OpenAI 表示,在復刻的間接 Prompt 注入測試中,GPT-Red 面對 GPT-5.1 找到成功攻擊路徑的比例是 84%,人工紅隊是 13%。OpenAI 將 GPT-Red 產生的攻擊樣本回灌訓練 GPT-5.6 Sol 後,最難直接 Prompt 注入基準上的失敗次數,比四個月前最強生產模型少了 6 倍。

售貨機和程式碼 Agent 更接近現場

在自動售貨機 Agent 案例中,GPT-Red 先在模擬環境試攻擊,再讓生產 Agent 把高價商品改成 0.50 美元,新增一個 100 美元以上商品並以 0.50 美元出售,還取消另一位顧客的訂單。

另一個案例是攻擊基於 GPT-5.4 mini 的 Codex CLI Agent,任務涵蓋 10 個保留的資料外洩情境。OpenAI 稱,GPT-Red 比提示詞版 GPT-5.5 基準更有效,也更省 token。

數字強,外部複核仍有限

OpenAI 還披露,早期 GPT-Red 發現的 Fake Chain-of-Thought 攻擊,在 GPT-5.1 上成功率超過 95%,到 GPT-5.6 Sol 已降至 10% 以下;在一組廣泛魯棒性環境中,GPT-5.6 Sol 面對 GPT-Red 直接注入的失敗率只有 0.05%。

不過 GPT-Red 仍是內部模型。外部研究者還不能複現測試分布、失敗樣本和過度拒絕代價。對開發者而言,實務做法是權限隔離、工具 allowlist、敏感動作確認、日誌審計和最小資料暴露。

參考來源:OpenAI GPT-Red 技術說明、Help Net Security、SiliconANGLE、CocoLoop;核驗 84%/13%、6 倍、95% 到 10% 以下、0.05% 失敗率與 Vendy/Codex CLI 案例。