
OpenAI подробно рассказала о новой внутренней системе безопасности под названием GPT-Red, позиционируя её как способ автоматизировать одну из самых трудных частей внедрения моделей: находить сбои раньше пользователей. В публикации OpenAI компания заявила, что GPT-Red — это автоматизированная модель red teaming, обученная выявлять уязвимости, особенно слабые места, связанные с prompt injection, а затем использоваться для усиления новых моделей во время обучения.
Это объявление важно, потому что prompt injection остаётся одним из самых очевидных препятствий для внедрения ИИ-агентов и моделей, использующих инструменты, в реальных рабочих процессах. По мере того как модели подключаются к браузерам, приложениям, файлам и внешним инструментам, они становятся полезнее — но и сильнее подвержены враждебным инструкциям, скрытым в письмах, веб-страницах, репозиториях кода или выводах программ. Аргумент OpenAI заключается в том, что одного человеческого red teaming уже недостаточно, чтобы успевать за такими рисками, и что сама работа по безопасности теперь тоже требует автоматизации.
По словам OpenAI, GPT-Red уже был интегрирован в обучение GPT-5.6, и результатом стала модель, которую компания называет своей самой устойчивой к prompt injection на сегодняшний день. Эти заявления о производительности основаны на собственных тестах OpenAI и должны восприниматься как данные от вендора, если только они не будут независимо воспроизведены. Тем не менее релиз даёт один из самых ясных на сегодня взглядов на то, как лаборатория frontier-подхода пытается превратить враждебное тестирование из ручного процесса проверки в масштабируемый цикл обучения.
OpenAI описывает GPT-Red как свою текущую лучшую автоматизированную модель безопасности для red teaming. Вместо того чтобы вести себя как статичный бенчмарк, GPT-Red действует скорее как активный атакующий: отправляет промпты, наблюдает за ответами целевых моделей и итеративно движется к состоянию сбоя. В интерпретации OpenAI это делает его ближе к человеческому red teamer, чем к обычному набору eval-задач.
Компания сообщила, что система была обучена с использованием reinforcement learning на основе self-play. GPT-Red атакует, а набор защитных моделей пытается выдержать атаку и при этом всё же выполнить предполагаемую задачу. GPT-Red получает вознаграждение, когда ему удаётся вызвать корректный сбой, например успешную prompt injection, а защитники получают вознаграждение за то, что продолжают выполнять задачу и сопротивляются манипуляции. По мере того как защитники улучшаются, как заявила OpenAI, GPT-Red приходится находить более сильные и более разнообразные стратегии атаки.
Такой подход важен, потому что многие публичные тесты на устойчивость теряют ценность, когда лучшие модели на них переобучаются или просто насыщают их. OpenAI прямо заявила, что обычно используемые оценки устойчивости уже насыщены её новейшими моделями. GPT-Red подаётся как ответ на эту проблему: вместо проверки по фиксированному набору промптов OpenAI пытается непрерывно генерировать новые атаки.
Компания также заявила, что обучала GPT-Red на вычислительном масштабе, сопоставимом с некоторыми из её крупнейших post-training запусков, назвав это беспрецедентным объёмом compute, направленным исключительно на повышение безопасности. OpenAI не привела конкретную цифру compute в предоставленных материалах, поэтому масштаб носит ориентировочный характер и не может быть независимо измерен только по этому объявлению.
Релиз сосредоточен на prompt injection, потому что это одна из самых практичных проблем безопасности для ИИ-систем, использующих инструменты. OpenAI отметила, что модели всё чаще взаимодействуют с данными сторонних источников через браузеры, подключённые приложения, локальные файлы и другие инструменты. Эти интеграции создают реальную полезность, но также дают атакующим новые поверхности для влияния.
В примере OpenAI вредоносная инструкция может быть встроена в веб-страницу, письмо, ответ инструмента или файл репозитория и затем направить модель к небезопасному поведению, например к отправке конфиденциальных данных куда-то ещё. Для продуктовых команд, создающих ИИ-агентов, это не абстрактный вопрос. Как только LLM может читать внешние системы и предпринимать действия, скрытая инструкция может конкурировать с правилами, которые задумывал разработчик.
Это помогает объяснить, почему OpenAI связывает GPT-Red не только с оценкой, но и напрямую с обучением моделей. Компания заявила, что использовала GPT-Red для генерации prompt injection для adversarial training GPT-5.6. Иными словами, система не просто обнаруживает сбои для отчёта по безопасности; она создаёт обучающие данные, предназначенные для того, чтобы будущие модели было сложнее манипулировать.
OpenAI также заявила, что держит GPT-Red отдельно от моделей, которые она разворачивает. Указанная причина — не допустить попадания намеренно обученных вредоносных возможностей в широко доступные системы, при этом передавая защитные преимущества в продакшн-модели. Это разделение особенно важно для покупателей корпоративного ИИ, которые опасаются, что более мощные инструменты тестирования безопасности сами могут стать инструментами двойного назначения, если их широко открыть.
Самые сильные заявления о производительности в релизе исходят от самой OpenAI. Компания заявила, что предыдущие модели были крайне уязвимы к атакам GPT-Red на prompt injection, а GPT-5.6 Sol стал её самой устойчивой моделью на сегодняшний день после adversarial training с GPT-Red.
В частности, OpenAI сообщила, что GPT-5.6 Sol получил в шесть раз меньше сбоев на своём самом сложном прямом бенчмарке prompt injection по сравнению с её лучшей production-моделью четырёхмесячной давности. Это значимое заявление, если бенчмарк стабилен и репрезентативен, но в предоставленных материалах недостаточно деталей, чтобы оценить дизайн бенчмарка, размер выборки или то, насколько хорошо результат переносится на клиентские рабочие нагрузки. Поэтому этот показатель лучше понимать как внутренний сигнал прогресса, а не как отраслевой стандарт.
OpenAI также сообщила, что GPT-Red способен «ломать» почти все тестируемые модели, включая внутренние и production-модели вплоть до GPT-5.5. И снова это заявление от вендора. Оно подчёркивает ценность GPT-Red внутри собственной security pipeline OpenAI, но внешние наблюдатели пока не располагают достаточными деталями, чтобы независимо оценить широту или воспроизводимость.
Один из более интересных тезисов касается обобщения. OpenAI сказала, что тестировала GPT-Red в воспроизведённой версии арены indirect prompt injection, описанной Dziemian et al. (2025), используя окружения и цели, отличные от сценариев обучения GPT-Red. В этой оценке компания заявила, что GPT-Red нашёл успешные атаки в 84% сценариев по сравнению с 13% у людей из red team, атаковавших GPT-5.1. Если это верно, то это говорит о том, что автоматизированный adversarial search уже может превосходить ручное тестирование в некоторых ограниченных средах. Но поскольку эксперимент описан OpenAI, а не внешним оценщиком в исходном материале, он всё ещё относится к категории benchmarking, сообщённого вендором.
Ключевые факты этой истории взяты из официального объявления OpenAI. В пакет также входила заметка в wire-стиле от Google News, указывающая на то же событие, но без существенных дополнительных материалов. Это означает, что наиболее значимые утверждения здесь — масштаб compute, успех атак, улучшения по бенчмаркам и обобщение — в основном восходят к OpenAI.
Что объявление ясно показывает, так это процесс: OpenAI построила внутреннюю автоматизированную систему red teaming, обучила её с self-play, сильно сфокусировала на prompt injection и использовала для adversarial training GPT-5.6. Что остаётся менее ясным на основе доступных доказательств, так это внешняя валидность.
OpenAI не предоставляет в переданных материалах подробную методологию своего самого сложного бенчмарка, точные распределения threat model, компромиссы по стоимости или операционные накладные расходы на запуск GPT-Red в масштабе. Компания также не показывает, как производительность держится против полностью независимых red team-организаций или в долгих production workflow для агентов. При этом OpenAI заявляет, что продолжит использовать GPT-Red вместе с человеческим и сторонним red teaming, многоуровневыми защитами и мониторингом в реальном времени. Это полезное напоминание о том, что OpenAI не представляет GPT-Red как полную замену более широких средств контроля безопасности.
Для ИИ-разработчиков практический вывод таков: безопасность смещается от статической оценки к непрерывному adversarial training. Командам, выпускающим ИИ-агентов, продукты code assistant или системы автоматизации рабочих процессов, может понадобиться собственный внутренний эквивалент GPT-Red, пусть и в меньшем масштабе. Замороженный бенчмарк безопасности менее полезен, когда модели учатся проходить тест. Динамическая генерация атак может стать частью стандартного стека.
Для покупателей корпоративного ИИ это объявление подчёркивает, куда должны двигаться следующие вопросы при закупках. Уже недостаточно спрашивать, есть ли у поставщика модели политика безопасности. Покупателям следует спрашивать, как поставщик тестирует prompt injection в сценариях с использованием инструментов, включают ли эти тесты косвенные атаки из стороннего контента, как результаты adversarial-исследований возвращаются обратно в обучение и какой runtime-мониторинг остаётся после развёртывания.
Релиз также обостряет конкурентный вопрос в корпоративном ИИ. Поставщики моделей всё чаще хотят внедрения в сценарии, где системы могут просматривать веб, читать документы, запускать инструменты и действовать на основе корпоративных данных. Это делает устойчивость к prompt injection коммерчески важной, а не только академически интересной. Если OpenAI сможет показать, что GPT-5.6 и GPT-5.6 Sol существенно труднее манипулировать в реалистичных tool-средах, это может иметь значение для покупателей, сравнивающих frontier-модели для чувствительных рабочих процессов.
В то же время подход OpenAI поднимает вопрос стоимости. Обучение внутренних моделей атаки в крупном post-training compute масштабе — реалистично для frontier-лаборатории, но гораздо сложнее для небольших поставщиков моделей или стартапов приложений. Это может увеличить разрыв в инфраструктуре безопасности между платформенными вендорами и экосистемой, которая строится поверх них.
Следующий сигнал, за которым стоит следить, — это независимая валидация. Если внешние исследователи, сторонние red-team компании или клиенты начнут сообщать, что GPT-5.6 демонстрирует заметно лучшую устойчивость к prompt injection в живых agent workflow, объявление приобретёт больший вес.
Ещё один ключевой сигнал — опубликует ли OpenAI более глубокие методологические детали о GPT-Red, включая дизайн оценки, переносимость результатов за пределы prompt injection и экономическую эффективность. Использование self-play reinforcement learning указывает на повторно используемый паттерн, который может распространиться и на другие категории безопасности, но это пока не доказано имеющимися здесь данными.
Также будет интересно посмотреть, станет ли OpenAI косвенно продуктировать часть этой работы через корпоративные контролы, инструменты оценки или API, даже если сам GPT-Red останется внутренним. Если разработчики, строящие на OpenAI, смогут получить более удобные тестовые стенды или более понятные диагностики prompt injection, влияние GPT-Red выйдет за пределы собственного обучения моделей OpenAI.
Наконец, более широкий вопрос — последуют ли другим лаборатории тем же путём. Если автоматизированный red teaming станет обычной частью разработки frontier-моделей, сравнения систем вроде GPT-Red могут стать столь же важными, как и сравнения самих базовых моделей.
Объявление OpenAI — это скорее не про одну функцию безопасности, а про смену философии разработки. Компания утверждает, что alignment и robustness не могут опираться только на ручные тесты и периодические проверки людьми, когда модели работают с инструментами и внешними данными. GPT-Red — это попытка индустриализировать поиск сбоев.
Это не означает, что проблема решена. Главные успехи вокруг GPT-5.6 и GPT-5.6 Sol — это заявления самой OpenAI, а prompt injection по-прежнему остаётся движущейся целью. Но для команд, создающих корпоративный ИИ, продукты code assistant и ИИ-агентов, стратегический вывод ясен: устойчивые системы всё чаще будут обучаться против активных атакующих, а не просто проверяться по статическим рубрикам. В этом смысле GPT-Red может быть наиболее важен как сигнал того, куда движется инженерия безопасности моделей, а не только как внутренний проект OpenAI.
OpenAI представила GPT-Red — автоматизированную систему red teaming, которая, по словам компании, улучшает защиту от prompt injection и может помочь масштабировать безопасность вместе с возможностями модели.