GPT-Red:训练攻击者模型以增强防御者抵御注入的能力
2026 年 7 月 15 日,OpenAI 介绍了 GPT-Red——一个通过自我博弈训练、专门发现提示注入的内部红队模型。它以 84% 对 13% 击败人类,随后被用于增强 GPT-5.6 的稳健性。
这是什么?
2026 年 7 月 15 日,OpenAI 公布了 GPT-Red——一个仅供内部使用的模型,专门训练用来对自家系统进行红队测试,寻找提示注入弱点。GPT-Red 的运作方式与人类红队相同:发送一段提示,观察目标模型的响应,并朝着某个目标迭代,例如窃取文件或转发 API 密钥。真正值得关注的不是这个攻击者本身,而是围绕它构建的循环:OpenAI 将 GPT-Red 发现的攻击反馈到生产模型的训练中,并称此举使 GPT-5.6 Sol 成为其迄今为止最能抵御注入的版本。
这一话题对防御者有意义,因为它为自动化红队目前所处的水平提供了一个具体的参照点,而且其自我博弈的方法描述得足够详细,可被复现。OpenAI 表示将在公布当周发布一份包含更多细节的预印本。
工作原理
GPT-Red 采用自我博弈强化学习进行训练。攻击者模型与一组多样化的「防御者」大模型在模拟的部署场景中同时训练——浏览网页、阅读邮件、处理工具返回结果、编辑代码。每个场景都带有一个威胁模型,规定攻击者能控制什么(网页横幅、邮件正文、本地文件的一部分、工具输出)以及什么算作成功的攻陷。
奖励是对抗性的:GPT-Red 因引发有效失败而得分,而防御者因抵御攻击并完成其原始任务而得分。随着防御者不断加固,攻击者被迫寻找更强、更多样的技术。OpenAI 称此训练的算力规模相当于其最大的一些后训练任务,并刻意将 GPT-Red 与所部署的模型隔离,使这种攻击能力不落入对手之手。
有两个结果尤为突出。在 Dziemian 等人(2025)间接注入竞技场的复现版本中,GPT-Red 与人类红队各自独立地在未见过的场景中攻击 GPT-5.1;GPT-Red 在其中 84% 的场景中成功,人类为 13%。此外,早期版本还自行发现了一种 OpenAI 称为「Fake Chain-of-Thought」的直接注入技术——在目标自身的思维过程中插入伪造的推理步骤——对 GPT-5.1 的成功率约为 95%。
为何重要
防御收益是真实的,但有边界。OpenAI 表示,GPT-5.6 Sol 现在仅在 0.05% 的 GPT-Red 直接注入上失败,Fake Chain-of-Thought 对它的成功率降至 10% 以下,多个针对开发者工具与浏览的注入基准准确率超过 97%——同时前沿能力与过度拒绝的分数保持不变,而后者恰恰是最难兼顾的。
但这些案例研究提醒我们:模型的稳健性并不等于系统的安全性。GPT-Red 被用于攻击 OpenAI 办公室里管理自动售货机的智能体,并达成了全部三个目标:把一件有货商品降到 0.50 美元的下限、以同一价格上架一件超过 100 美元的商品、取消另一位顾客的订单。在针对由较小模型驱动的 Codex 命令行智能体时,它在十个未见过的场景中比对照基线窃取到更多数据。换言之,只要系统对不可信输入授予了真实的工具权限,一个训练有素的攻击者仍能攻破建立在强模型之上的智能体系统。
防御措施
- 将厂商的稳健性数字视为「分布内」结果,而非保证。「0.05% 失败率」是针对某一攻击者在留出环境上的分布测得的,并不能约束另一个攻击者、一次微调或下个月的新技术会做出什么。把它当作会被侵蚀的下限,而非上限。
- 让致命三要素远离单一上下文的智能体。 售货机与 Codex 案例之所以成功,是因为智能体同时具备不可信输入、敏感访问以及外泄或行动通道。请将它们分离;更稳健的基础模型并不能免除这一点。
- 在模型之外强制执行动作限制。 对改价、取消订单、外发 POST、访问凭据设置确定性的闸门,无论注入如何措辞,都能钝化每一个案例。
- 以适合自身规模的方式,将对抗性自我博弈作为内部实践。 不需要 OpenAI 的算力,也能在自己的智能体框架上搭建攻击者/防御者循环,在部署前发现注入路径;价值在于覆盖面与多样性,而非模型规模。
- 警惕推理通道的伪装。 Fake Chain-of-Thought 表明,模仿模型自身思考的注入文本是一类独立威胁;应记录并约束工具输出与推理如何交织,而不是信任表面上的「内部」步骤。
状态
| 项目 | 内容 |
|---|---|
| 是什么 | GPT-Red——由自我博弈强化学习训练的内部自动化红队 |
| 披露时间 | 2026 年 7 月 15 日(OpenAI);同周承诺发布预印本 |
| 攻击者结果 | 在复现的 Dziemian 等人注入竞技场中,针对 GPT-5.1 为 84% 对 13%(人类) |
| 防御者结果 | GPT-5.6 Sol 在 0.05% 的 GPT-Red 直接注入上失败;Fake CoT < 10% |
| 提醒 | 针对真实智能体(售货机、Codex CLI)的案例仍被完全攻陷 |
| 范围 | 研究/防御进展;无 CVE,无产品补丁 |
关键日期:2026 年 7 月 15 日——OpenAI 公布;2026 年 7 月 16 日——媒体报道。参照竞技场:Dziemian 等人,《How Vulnerable Are AI Agents to Indirect Prompt Injections?》(arXiv,2026 年 3 月)。同周还宣布将发布方法更完整的预印本。