
OpenAI 詳細介紹了一套名為 GPT-Red 的新內部安全系統,將其定位為自動化模型部署中最困難部分之一的方法:在使用者之前先找出失敗點。在 OpenAI 發布的文章中,該公司表示 GPT-Red 是一個自動化紅隊模型,經訓練用來發現漏洞,尤其是提示注入弱點,並在訓練過程中用來強化較新的模型。
這項宣布之所以重要,是因為提示注入仍然是將 AI 智能體與工具使用型模型部署到真實工作流程中的最明顯障礙之一。隨著模型連接到瀏覽器、應用程式、檔案與外部工具,它們變得更有用,但也更容易暴露在電子郵件、網頁、程式碼儲存庫或軟體輸出中隱藏的惡意指令之下。OpenAI 的論點是,僅靠人工紅隊已無法跟上這些風險,而安全工作本身現在也需要自動化。
根據 OpenAI,GPT-Red 已經整合進 GPT-5.6 的訓練,而結果是該公司所稱其迄今對提示注入最具韌性的模型。這些效能說法來自 OpenAI 自身測試,若未經獨立重現,應視為供應商報告。即便如此,這次發布仍提供了一個迄今最清楚的視角,讓人看見前沿實驗室如何試圖將對抗性測試從人工審查流程,變成可擴展的訓練迴圈。
OpenAI 將 GPT-Red 描述為其目前最佳的自動化安全紅隊模型。GPT-Red 並不像靜態基準測試那樣運作,而更像一名主動攻擊者:它會發送提示、觀察目標模型如何回應,並反覆嘗試以接近失敗條件。在 OpenAI 的說法中,這讓它更接近人類紅隊成員,而不是傳統評估集。
該公司表示,這套系統是使用 self-play 強化學習訓練而成。GPT-Red 負責攻擊,而一組防禦模型則試圖抵禦攻擊,同時完成預定任務。當 GPT-Red 能引發有效失敗,例如成功的提示注入時,它會獲得獎勵;而防禦者則因為持續聚焦任務並抵抗操控而獲得獎勵。OpenAI 表示,隨著防禦者持續進步,GPT-Red 必須找到更強且更多樣化的攻擊策略。
這種設計之所以重要,是因為許多公開的穩健性測試,一旦頂尖模型對其過度擬合,或只是將其耗盡,就會失去價值。OpenAI 明確表示,常用的穩健性評估已被其最新模型飽和。GPT-Red 被視為對此問題的回應:OpenAI 不再只用固定提示集進行測試,而是試圖持續生成新的攻擊。
該公司還表示,GPT-Red 的訓練所用算力規模相當於其一些最大型的後訓練運行,並稱這是前所未有、純粹用於安全提升的算力投入。OpenAI 在提供的材料中沒有給出具體算力數字,因此這個規模屬於方向性描述,僅憑這次公告無法獨立量測。
這次發布聚焦於提示注入,因為它是使用工具的 AI 系統最實際的安全問題之一。OpenAI 指出,模型越來越常透過瀏覽器、連接的應用程式、本機檔案與其他工具與第三方資料互動。這些整合確實帶來實用性,但也讓攻擊者多了新的影響面。
在 OpenAI 的例子中,惡意指令可能被嵌入網頁、電子郵件、工具回應或儲存庫檔案中,進而引導模型做出不安全的行為,例如將敏感資料傳送到別處。對於打造 AI 智能體 的產品團隊來說,這不是抽象問題。一旦 LLM 能讀取外部系統並採取行動,隱藏指令就可能與開發者原本設定的規則競爭。
這也解釋了為什麼 OpenAI 不只是把 GPT-Red 用於評估,而是直接用於模型訓練。該公司表示,他們利用 GPT-Red 生成用於 GPT-5.6 對抗性訓練的提示注入。換句話說,這套系統不只是為安全報告找出失敗,而是在產生訓練資料,目的是讓未來的模型更難被操控。
OpenAI 也表示,GPT-Red 會與其部署的模型分開保存。其說法是避免將刻意訓練出的惡意能力放進廣泛可存取的系統,同時仍把防禦上的好處轉移到生產模型上。這種區隔對 企業 AI 採購者特別值得注意,因為他們擔心更強大的安全測試工具若廣泛暴露,可能本身就會變成雙用途攻擊工具。
這次發布中最強的效能說法都來自 OpenAI 自身。該公司表示,先前的模型對 GPT-Red 的提示注入攻擊高度脆弱,而 GPT-5.6 Sol 經過 GPT-Red 的對抗式訓練後,成為該公司迄今最強韌的模型。
具體來說,OpenAI 表示,與四個月前最佳的生產模型相比,GPT-5.6 Sol 在其最困難的直接提示注入基準上,失敗次數少了六倍。若該基準穩定且具代表性,這是一項有意義的主張;但公告未提供足夠細節來評估基準設計、樣本數量或結果對客戶工作負載的可轉移性。因此,這個數字最好理解為內部進展訊號,而非整個市場的標準。
OpenAI 也報告稱,GPT-Red 幾乎可以破解所有它所測試的模型,包括 GPT-5.5 以內的內部與生產模型。這同樣是供應商報告的主張。它顯示出 GPT-Red 在 OpenAI 自家安全流程中的價值,但外部觀察者目前仍缺乏足夠細節,無法獨立判斷其廣度或可重現性。
更有趣的一項主張與泛化能力有關。OpenAI 表示,他們在一個重現版本的間接提示注入競技場中測試了 GPT-Red,該競技場由 Dziemian et al.(2025)所描述,並使用與 GPT-Red 訓練情境不同的環境與目標。在那項評估中,OpenAI 說 GPT-Red 在 84% 的情境中找到了成功攻擊,而人類紅隊對 GPT-5.1 的攻擊成功率為 13%。若屬實,這表示自動化對抗性搜尋在某些受限環境中,可能已經優於人工測試。但由於這項實驗是由 OpenAI 而非來源材料中的外部評估者所描述,因此仍屬於供應商報告式基準測試。
這則故事的核心事實來自 OpenAI 的官方公告。資料包中也包含一則類 Google News 的快訊,指向同一發展,但沒有實質性的額外報導。這意味著此處最重要的主張——算力規模、攻擊成功率、基準提升與泛化——主要都來自 OpenAI。
這項公告清楚揭示的是流程:OpenAI 建立了一套內部自動化紅隊系統,以 self-play 訓練,重點聚焦提示注入,並用來對 GPT-5.6 進行對抗性訓練。根據目前可得證據,較不清楚的是外部效度。
OpenAI 在提供的材料中,沒有給出其最難基準的詳細方法、精確的威脅模型分布、成本權衡,或大規模運行 GPT-Red 的營運額外負擔。公司也沒有展示它在完全獨立的紅隊組織面前,或在長時間的生產智能體工作流程中表現如何。不過,OpenAI 確實表示,未來會繼續將 GPT-Red 與人工及第三方紅隊、多層防護與即時監控一起使用。這提醒我們,OpenAI 並未將 GPT-Red 描述為更廣泛安全控制的完整替代品。
對 AI 開發者而言,實務上的重點是:安全正在從靜態評估走向持續的對抗式訓練。推出 AI 智能體、程式碼助理產品或工作流程自動化系統的團隊,可能需要自己的 GPT-Red 版本,即使規模較小。當模型學會了測試,固定的安全基準就不再那麼有用。動態攻擊生成可能會成為標準堆疊的一部分。
對企業 AI 採購者來說,這項公告凸顯了接下來應該問哪些採購問題。只問模型供應商是否有安全政策已經不夠了。採購者應該詢問供應商如何在使用工具的場景中測試提示注入、這些測試是否包含來自第三方內容的間接攻擊、對抗性發現如何回饋訓練,以及部署後還保留哪些即時監控。
這次發布也讓企業 AI 的競爭重點更為明確。模型供應商越來越希望在系統可以瀏覽、閱讀文件、觸發工具並根據公司資料採取行動的環境中被採用。這使得提示注入的穩健性在商業上變得重要,而不只是學術上有趣。如果 OpenAI 能證明 GPT-5.6 與 GPT-5.6 Sol 在真實工具環境中確實更難被操控,對於為敏感工作流程比較前沿模型的買家來說,這可能相當重要。
同時,OpenAI 的做法也帶來成本問題。以大規模後訓練算力去訓練內部攻擊模型,對前沿實驗室來說是可行的,但對較小的模型供應商或應用新創而言就困難得多。這可能擴大平台供應商與其上層生態系之間的安全基礎設施差距。
下一個要觀察的訊號是獨立驗證。如果外部研究者、第三方紅隊公司或客戶開始回報,GPT-5.6 在真實智能體工作流程中對提示注入的抵抗力顯著提升,那麼這項公告的份量會更重。
另一個關鍵訊號是 OpenAI 是否會公布更多 GPT-Red 的方法細節,包括評估設計、超越提示注入之外的遷移表現,以及成本效率。OpenAI 使用 self-play 強化學習,顯示出一個可重複使用的模式,未來可能延伸到其他安全類別,但目前仍未被此處證據證實。
也值得觀察的是,即使 GPT-Red 本身仍保持內部使用,OpenAI 是否會透過企業控制、評估工具或 API 間接產品化其中一部分工作。如果基於 OpenAI 開發的工程師能取得更好的測試框架或更清楚的提示注入診斷,GPT-Red 的影響力就會超出 OpenAI 自家的模型訓練。
最後,更大的問題是其他實驗室是否會走同樣的路。若自動化紅隊成為前沿模型開發的常態,那麼 GPT-Red 類系統之間的比較,可能會和基礎模型之間的比較一樣重要。
OpenAI 的公告與其說是關於單一安全功能,不如說是開發哲學的轉變。該公司主張,當模型跨越工具與外部資料運作時,對齊與穩健性不能只依靠手工測試和定期人工審查。GPT-Red 代表的是將失敗發現工業化的嘗試。
這並不表示問題已經解決。圍繞 GPT-5.6 與 GPT-5.6 Sol 的亮眼成果都是 OpenAI 自己的說法,而提示注入仍然是一個會變動的目標。不過,對於打造企業 AI、程式碼助理產品與 AI 智能體的團隊來說,策略上的教訓很清楚:更強健的系統將越來越多地在面對主動攻擊者時進行訓練,而不只是對照靜態規範檢查。從這個意義上說,GPT-Red 最重要的,或許不是它作為一個內部專案本身,而是它所指向的模型安全工程未來方向。
OpenAI 推出 GPT-Red,一套自動化紅隊系統,據稱可強化提示注入防禦,並有助於讓安全性隨模型能力一起擴展。