
OpenAI hat ein neues internes Sicherheitssystem namens GPT-Red vorgestellt und positioniert es als eine Möglichkeit, einen der schwierigsten Teile des Modell-Deployments zu automatisieren: Fehler zu finden, bevor Nutzer es tun. In einem von OpenAI veröffentlichten Beitrag erklärte das Unternehmen, GPT-Red sei ein automatisiertes Red-Teaming-Modell, das darauf trainiert wurde, Schwachstellen zu entdecken, insbesondere Prompt-Injection-Schwachstellen, und anschließend genutzt werde, um neuere Modelle während des Trainings zu härten.
Die Ankündigung ist deshalb bedeutsam, weil Prompt Injection weiterhin eines der deutlichsten Hindernisse für den Einsatz von KI-Agenten und Tool-using-Modellen in realen Arbeitsabläufen darstellt. Wenn Modelle mit Browsern, Apps, Dateien und externen Tools verbunden werden, werden sie nützlicher – aber auch angreifbarer für feindliche Anweisungen, die in E-Mails, Webseiten, Code-Repositories oder Softwareausgaben verborgen sind. OpenAIs Argument lautet, dass reines menschliches Red-Teaming mit diesen Risiken nicht Schritt halten kann und dass auch Sicherheitsarbeit nun Automatisierung braucht.
Laut OpenAI wurde GPT-Red bereits in das Training von GPT-5.6 integriert, und das Ergebnis sei ein Modell, das das Unternehmen als sein bislang robustestes gegen Prompt Injection bezeichnet. Diese Leistungsbehauptungen stammen aus den eigenen Tests von OpenAI und sollten als Herstellerangaben gelesen werden, sofern sie nicht unabhängig repliziert werden. Dennoch bietet die Veröffentlichung einen der bislang klarsten Einblicke, wie ein Frontier-Labor versucht, adversariales Testen von einem manuellen Prüfprozess in eine skalierbare Trainingsschleife zu verwandeln.
OpenAI beschreibt GPT-Red als sein derzeit bestes automatisiertes Sicherheits-Red-Teaming-Modell. Anstatt wie ein statischer Benchmark zu funktionieren, verhält sich GPT-Red eher wie ein aktiver Angreifer: Es sendet Prompts, beobachtet, wie Zielmodelle reagieren, und iteriert auf einen Fehlzustand hin. In OpenAIs Darstellung kommt es damit eher einem menschlichen Red-Teamer nahe als einem herkömmlichen Evaluationssatz.
Das Unternehmen erklärte, das System sei mithilfe von Self-Play-Reinforcement-Learning trainiert worden. GPT-Red greift an, während eine Gruppe von Verteidigungsmodellen versucht, den Angriff abzuwehren und trotzdem die beabsichtigte Aufgabe zu erledigen. GPT-Red erhält eine Belohnung, wenn es einen gültigen Fehler auslösen kann, etwa eine erfolgreiche Prompt Injection, während Verteidiger dafür belohnt werden, bei der Aufgabe zu bleiben und Manipulation zu widerstehen. Je besser die Verteidiger werden, so OpenAI, desto stärkere und vielfältigere Angriffsstrategien muss GPT-Red finden.
Dieses Setup ist wichtig, weil viele öffentliche Robustheitstests an Wert verlieren, sobald Spitzenmodelle auf sie überangepasst sind oder sie schlicht sättigen. OpenAI sagte ausdrücklich, dass häufig genutzte Robustheitsbewertungen bereits von seinen neuesten Modellen gesättigt worden seien. GPT-Red wird als Antwort auf dieses Problem dargestellt: Statt gegen einen festen Satz von Prompts zu testen, versucht OpenAI, kontinuierlich neue Angriffe zu generieren.
Das Unternehmen sagte außerdem, es habe GPT-Red mit einer Rechenleistung trainiert, die dem Umfang einiger seiner größten Post-Training-Läufe entspricht, und nannte dies eine beispiellose Menge an Compute, die ausschließlich der Sicherheitsverbesserung gewidmet sei. OpenAI nannte im bereitgestellten Material keine konkrete Compute-Zahl, daher ist der Umfang eher als Richtwert zu verstehen und lässt sich aus der Ankündigung allein nicht unabhängig messen.
Die Veröffentlichung konzentriert sich auf Prompt Injection, weil sie eines der praktischsten Sicherheitsprobleme für KI-Systeme mit Tool-Nutzung ist. OpenAI wies darauf hin, dass Modelle zunehmend über Browser, verbundene Apps, lokale Dateien und andere Tools mit Daten von Drittanbietern interagieren. Diese Integrationen schaffen zwar echten Nutzen, eröffnen Angreifern aber auch neue Einflussflächen.
Im Beispiel von OpenAI könnte eine bösartige Anweisung in einer Webseite, einer E-Mail, einer Tool-Antwort oder einer Repository-Datei eingebettet sein und das Modell dann zu unsicherem Verhalten lenken, etwa dazu, sensible Daten an anderer Stelle zu senden. Für Produktteams, die KI-Agenten bauen, ist das kein abstraktes Thema. Sobald ein LLM aus externen Systemen lesen und Aktionen ausführen kann, kann eine versteckte Anweisung mit den vom Entwickler beabsichtigten Regeln konkurrieren.
Das hilft zu erklären, warum OpenAI GPT-Red nicht nur mit Evaluierung, sondern direkt mit dem Modelltraining verknüpft. Das Unternehmen erklärte, es habe GPT-Red verwendet, um Prompt Injections für adversariales Training von GPT-5.6 zu erzeugen. Anders gesagt: Das System entdeckt nicht bloß Fehler für einen Sicherheitsbericht, sondern erzeugt Trainingsdaten, die künftige Modelle schwerer manipulierbar machen sollen.
OpenAI sagte außerdem, GPT-Red getrennt von den Modellen zu halten, die es einsetzt. Der genannte Grund ist, absichtlich trainierte schädliche Fähigkeiten nicht in weit zugängliche Systeme zu bringen und dennoch die defensiven Vorteile auf Produktionsmodelle zu übertragen. Diese Trennung ist für Unternehmens-KI-Kunden bemerkenswert, die sich Sorgen machen, dass leistungsfähigere Sicherheitstest-Tools selbst zu dual-use Angriffs-Werkzeugen werden könnten, wenn sie breit zugänglich wären.
Die stärksten Leistungsangaben in der Veröffentlichung stammen von OpenAI selbst. Das Unternehmen sagte, frühere Modelle seien gegenüber den Prompt-Injection-Angriffen von GPT-Red stark verwundbar gewesen und dass GPT-5.6 Sol nach adversarialem Training mit GPT-Red zu seinem bislang robustesten Modell geworden sei.
Konkret erklärte OpenAI, dass GPT-5.6 Sol auf seinem schwierigsten direkten Prompt-Injection-Benchmark sechsmal weniger Fehlversuche erzielt habe als das beste Produktionsmodell des Unternehmens vier Monate zuvor. Das ist eine bedeutende Behauptung, sofern der Benchmark stabil und repräsentativ ist, doch die Ankündigung liefert in den bereitgestellten Belegen nicht genug Details, um Benchmark-Design, Stichprobengröße oder die Übertragbarkeit auf Kunden-Workloads zu beurteilen. Daher ist die Zahl am besten als internes Fortschrittssignal zu verstehen, nicht als branchenweiter Standard.
OpenAI berichtete außerdem, dass GPT-Red nahezu alle Modelle, gegen die es getestet wird, brechen kann, einschließlich interner und Produktionsmodelle bis hin zu GPT-5.5. Auch das ist eine vom Anbieter berichtete Behauptung. Sie verweist auf den Wert von GPT-Red innerhalb von OpenAIs eigener Sicherheits-Pipeline, aber Außenstehende haben noch nicht genug Details, um Breite oder Reproduzierbarkeit unabhängig zu bewerten.
Eine der interessanteren Behauptungen betrifft die Generalisierung. OpenAI sagte, es habe GPT-Red in einer replizierten Version einer indirekten Prompt-Injection-Arena getestet, beschrieben von Dziemian et al. (2025), mit Umgebungen und Zielen, die sich von den Trainingsszenarien von GPT-Red unterscheiden. In dieser Bewertung habe GPT-Red erfolgreiche Angriffe in 84 % der Szenarien gefunden, verglichen mit 13 % bei menschlichen Red-Teamern, die GPT-5.1 angreifen. Falls das zutrifft, deutet es darauf hin, dass automatisierte adversariale Suche in einigen begrenzten Umgebungen bereits besser abschneiden könnte als manuelles Testen. Da das Experiment jedoch im Quellmaterial von OpenAI und nicht von einem externen Evaluator beschrieben wird, fällt es weiterhin in die Kategorie der vom Anbieter berichteten Benchmarking-Ergebnisse.
Die Kernfakten dieser Geschichte stammen aus der offiziellen Ankündigung von OpenAI. Die Meldung wurde zudem von einem Wire-artigen Google-News-Beitrag begleitet, der auf dieselbe Entwicklung verweist, aber keine substantiell zusätzlichen Recherchen enthält. Das bedeutet, dass die wichtigsten Behauptungen hier – Compute-Umfang, Angriffserfolg, Benchmark-Gewinne und Generalisierung – primär auf OpenAI zurückgehen.
Was die Ankündigung klar zeigt, ist der Prozess: OpenAI hat ein internes automatisiertes Red-Teaming-System aufgebaut, es mit Self-Play trainiert, stark auf Prompt Injection ausgerichtet und es genutzt, um GPT-5.6 adversarial zu trainieren. Weniger klar ist anhand der verfügbaren Belege die externe Validität.
OpenAI liefert im bereitgestellten Material keine detaillierte Methodik für seinen schwierigsten Benchmark, keine exakten Threat-Model-Verteilungen, keine Kosten-Nutzen-Abwägungen und keinen operativen Overhead für den Einsatz von GPT-Red in großem Maßstab. Ebenso wenig zeigt das Unternehmen, wie die Leistung gegenüber völlig unabhängigen Red-Team-Organisationen oder in lang laufenden Produktions-Workflows für Agenten ausfällt. Das Unternehmen sagt jedoch, es werde GPT-Red weiterhin zusammen mit menschlichem und externem Red-Teaming, mehrschichtigen Schutzmechanismen und Echtzeitüberwachung einsetzen. Das ist eine nützliche Erinnerung daran, dass OpenAI GPT-Red nicht als vollständigen Ersatz für breitere Sicherheitskontrollen darstellt.
Für KI-Entwickler lautet die praktische Schlussfolgerung, dass Sicherheit sich von statischer Evaluierung hin zu kontinuierlichem adversarialem Training bewegt. Teams, die KI-Agenten, Coding-Assistant-Produkte oder Systeme zur Workflow-Automatisierung ausliefern, könnten eine eigene interne Entsprechung zu GPT-Red brauchen, wenn auch in kleinerem Maßstab. Ein eingefrorener Sicherheits-Benchmark ist weniger nützlich, sobald Modelle den Test lernen. Dynamische Angriffs-Generierung könnte Teil des Standard-Stacks werden.
Für Käufer von Unternehmens-KI unterstreicht die Ankündigung, wohin die nächsten Beschaffungsfragen gehen sollten. Es reicht nicht mehr aus zu fragen, ob ein Modellanbieter eine Sicherheitsrichtlinie hat. Käufer sollten fragen, wie der Anbieter Prompt Injection in Tool-using-Umgebungen testet, ob diese Tests indirekte Angriffe aus Drittinhalten einschließen, wie adversarielle Erkenntnisse zurück ins Training fließen und welche Laufzeitüberwachung nach dem Deployment bestehen bleibt.
Die Veröffentlichung schärft zudem einen Wettbewerbspunkt in der Unternehmens-KI. Modellanbieter wollen zunehmend in Umgebungen zum Einsatz kommen, in denen Systeme browsen, Dokumente lesen, Tools auslösen und auf Unternehmensdaten reagieren können. Das macht Robustheit gegen Prompt Injection kommerziell wichtig, nicht nur akademisch interessant. Wenn OpenAI zeigen kann, dass GPT-5.6 und GPT-5.6 Sol in realistischen Tool-Umgebungen deutlich schwerer zu manipulieren sind, könnte das für Käufer relevant sein, die Frontier-Modelle für sensible Workflows vergleichen.
Gleichzeitig wirft OpenAIs Ansatz eine Kostenfrage auf. Interne Angriffsmodelle in großem Post-Training-Compute-Umfang zu trainieren, ist für ein Frontier-Labor plausibel, für kleinere Modellanbieter oder Anwendungs-Startups jedoch deutlich schwieriger. Das könnte die Lücke in der Sicherheitsinfrastruktur zwischen Plattformanbietern und dem darauf aufbauenden Ökosystem vergrößern.
Das nächste Signal, auf das man achten sollte, ist eine unabhängige Validierung. Wenn externe Forscher, externe Red-Team-Firmen oder Kunden berichten, dass GPT-5.6 in Live-Agenten-Workflows deutlich besser gegen Prompt Injection resistent ist, gewinnt die Ankündigung an Gewicht.
Ein weiteres wichtiges Signal ist, ob OpenAI tiefere methodische Details zu GPT-Red veröffentlicht, einschließlich Evaluationsdesign, Transferleistung über Prompt Injection hinaus und Kosteneffizienz. Der Einsatz von Self-Play-Reinforcement-Learning deutet auf ein wiederverwendbares Muster hin, das sich auf andere Sicherheitskategorien ausweiten könnte, doch das ist anhand der hier vorliegenden Belege noch nicht bewiesen.
Es wird auch interessant sein zu beobachten, ob OpenAI Teile dieser Arbeit indirekt über Enterprise-Kontrollen, Evaluierungs-Tools oder APIs produktisiert, selbst wenn GPT-Red intern bleibt. Wenn Entwickler, die auf OpenAI aufbauen, auf bessere Test-Frameworks oder klarere Prompt-Injection-Diagnosen zugreifen können, würde sich die Wirkung von GPT-Red über OpenAIs eigenes Modelltraining hinaus erstrecken.
Schließlich stellt sich die größere Frage, ob andere Labore denselben Weg einschlagen. Wenn automatisiertes Red-Teaming zu einem normalen Bestandteil der Entwicklung von Frontier-Modellen wird, könnten Vergleiche zwischen GPT-Red-ähnlichen Systemen ebenso wichtig werden wie Vergleiche zwischen den Basismodellen selbst.
OpenAIs Ankündigung dreht sich weniger um ein einzelnes Sicherheitsfeature als um einen Wandel in der Entwicklungsphilosophie. Das Unternehmen argumentiert, dass Alignment und Robustheit nicht allein auf handgefertigten Tests und periodischer menschlicher Überprüfung beruhen können, sobald Modelle über Tools und externe Daten hinweg arbeiten. GPT-Red ist ein Versuch, Fehlerfindung zu industrialisieren.
Das bedeutet nicht, dass das Problem gelöst ist. Die Schlagzeilengewinne rund um GPT-5.6 und GPT-5.6 Sol stammen von OpenAI selbst, und Prompt Injection bleibt ein bewegliches Ziel. Aber für Teams, die Unternehmens-KI, Coding-Assistant-Produkte und KI-Agenten bauen, ist die strategische Lehre klar: Robuste Systeme werden zunehmend gegen aktive Angreifer trainiert und nicht nur anhand statischer Raster überprüft. In diesem Sinne könnte GPT-Red vor allem als Hinweis darauf wichtig sein, wohin sich die Modell-Sicherheitsentwicklung bewegt, und nicht nur als internes OpenAI-Projekt.
OpenAI stellte GPT-Red vor, ein automatisiertes Red-Teaming-System, das laut Unternehmen den Schutz vor Prompt Injection verbessert und dazu beitragen könnte, Sicherheit mit der Modellfähigkeit zu skalieren.