关注我们: 微信公众号

扫码关注我们

OpenAI 秘密训练“攻击模型”:攻破率高达 84%

云头条 2026-07-16 6

2026 年 7 月 16 日,OpenAI 披露内部自动化红队模型 GPT-Red。

该模型专门寻找大模型及智能体系统中的安全漏洞,不会向外部用户开放,其生成的攻击数据已被用于训练 GPT-5.6 Sol,提升后者抵御提示注入攻击的能力。

OpenAI 表示,GPT-Red 通过自博弈强化学习训练,与一组防御模型持续对抗。

GPT-Red 需要不断设计新的提示注入方式,诱导目标模型执行数据外泄、修改交易信息或调用工具等非预期操作;防御模型则需要在抵抗攻击的同时完成用户原本交付的任务。

在一项未出现在训练数据中的间接提示注入测试中,GPT-Red 成功攻破 84% 的测试场景,而人类红队人员的成功率仅为 13%。测试目标为 GPT-5.1,GPT-Red 和人类红队分别独立设计攻击方案。

8.png

OpenAI 称,这表明经过专门训练的自动化攻击模型,可以发现更多传统人工测试难以覆盖的漏洞。

GPT-Red 还被用于攻击真实运行的智能体系统。

在针对 OpenAI 办公室自动售货机智能体的测试中,该模型成功诱导生产系统将高价商品价格降至最低允许价格 0.50 美元、订购价值超过 100 美元的新品并以 0.50 美元出售,同时取消另一名顾客的订单。相关漏洞已被披露,开发方正在测试新的防护措施。

9.png

在另一组测试中,GPT-Red 对由 GPT-5.4 Mini 驱动的 Codex CLI 智能体发起攻击,尝试在 10 个此前未见过的场景中窃取敏感数据。

10.png

OpenAI 表示,与仅通过提示词引导的 GPT-5.5 相比,GPT-Red 能在更多场景中诱导 Codex 外传数据,同时消耗的 Token 更少。

OpenAI 随后将 GPT-Red 生成的攻击样本加入 GPT-5.6 的对抗训练。测试显示,早期版本 GPT-Red 发现的一类“伪思维链”提示注入攻击,对 GPT-5.1 的成功率一度超过 95%,在 GPT-5.6 Sol 上已降至 10% 以下。

面对 GPT-Red 的直接提示注入攻击,GPT-5.6 Sol 的失败率进一步降至 0.05%。

OpenAI 称,与四个月前表现最好的生产模型相比,GPT-5.6 Sol 在最困难的直接提示注入基准中,失败次数减少约六分之五。部分针对开发工具和网页浏览场景的间接提示注入测试中,其防御准确率已超过 97%。

OpenAI 强调,GPT-Red 是内部专用模型,不会与普通生产模型一同部署,也不会向外部发布。此举是为了避免其经过专门训练的攻击能力被恶意人员利用,同时将发现的攻击方法转化为生产模型的安全训练数据。

OpenAI 表示,人工红队和第三方测试仍将继续存在,但人工测试耗时较长,难以产生足够规模和多样性的攻击样本。未来,公司计划继续扩大 GPT-Red 的训练算力和数据规模,让当前模型自动攻击并帮助加固下一代模型。

云头条声明:如以上内容有误或侵犯到你公司、机构、单位或个人权益,请联系我们说明理由,我们会配合,无条件删除处理。

关键词:

网友留言2

未查询到任何数据!
◎欢迎您留言咨询,请在这里提交您想咨询的内容。