2026 年 7 月 15 日,OpenAI 公布内部自动化红队模型 GPT-Red,用它在模型部署前寻找提示注入等安全漏洞,并把生成的攻击样本加入生产模型训练。在一组未用于训练的间接提示注入场景中,GPT-Red 对 GPT-5.1 的攻击成功率为 84%,人工红队为 13%。这个数字说明自动化攻击能扩大测试覆盖面,但不代表它在所有系统、所有攻击类型上都比人类高出相同比例。
GPT-Red 如何持续找到更强攻击
GPT-Red 通过自我对弈强化学习训练。攻击模型负责向不同防守模型发送提示、观察回应并迭代;只要触发预先定义的失败,例如诱导智能体上传敏感文件,就会获得奖励。随着防守模型增强,攻击方必须寻找更隐蔽、更多样的路径。
训练环境覆盖网页横幅、邮件正文、本地文件和工具返回值等现实入口。OpenAI 表示,GPT-Red 在训练结束时可以攻破其面对的几乎所有模型,包括 GPT-5.5;但它与公开部署模型分开保存,不会向外提供专门训练出的攻击能力。
84% 来自什么测试
OpenAI 在复刻的间接提示注入竞技场中,让 GPT-Red 和人工红队分别攻击 GPT-5.1。测试场景与 GPT-Red 的训练环境不同,因此用于观察迁移能力。GPT-Red 在 84% 的场景中成功,人工为 13%。这是内部复刻环境和指定目标模型的结果,不能直接外推到其他厂商、不同智能体外壳或真实企业网络。
团队还让 GPT-Red 攻击办公室自动售货智能体。模型先在模拟中试探,再使生产代理把高价商品改到 0.50 美元、低价出售新订购商品并取消他人订单。另一组测试针对基于 GPT-5.4 mini 的 Codex CLI 数据外传任务,GPT-Red 也比通用模型基线更有效且消耗更少 token。
攻击数据怎样变成防守能力
OpenAI 用 GPT-Red 生成的攻击训练 GPT-5.6 Sol。官方称,在其最难的直接提示注入基准上,GPT-5.6 Sol 的失败次数比四个月前最佳生产模型少 6 倍;面对 GPT-Red 的直接注入时,失败率降至 0.05%。团队同时检查了通用能力与过度拒绝,称安全提升没有靠大面积拒答换取。
这并不意味着提示注入已经解决。自动红队仍受威胁模型、奖励定义和模拟环境限制,也可能错过人类能发现的业务逻辑与社会工程问题。OpenAI 明确表示它会继续与人工、第三方红队、分层防护和实时监控并行使用。企业部署浏览器或文件智能体时,仍需最小权限、输出确认、网络隔离和审计日志。
来源与说明
本文依据 OpenAI 于 2026 年 7 月 15 日发布的 GPT-Red 官方研究说明。文中百分比均保留其测试对象与环境,不作为跨产品安全评级。