GPT-Redがプロンプトインジェクションのテストで人間のレッドチームを上回る成果

GPT-Redは、OpenAIがプロンプトインジェクションの脆弱性を発見するために訓練している自動レッドチーミングモデルです。人間のレッドチーマーと同じように動作し、プロンプトを送信してGPTモデルの応答を観察し、データ流出の成功といった目標に向けて試行を繰り返します。

Image

トレーニングは自己対戦型の強化学習によって行われ、GPT-Redと複数の防御側モデルが多数のシナリオにわたって同時に学習を重ねます。攻撃側は有効な失敗を引き出すことで報酬を得て、防御側は攻撃に抵抗しつつ本来のタスクを完遂することで報酬を得ます。両者が互いを鍛え合う構造のため、防御側が強化されるのに合わせてGPT-Redも常により強力で多様な攻撃手法を発見し続けます。

OpenAIは、同社が手掛ける最大規模のポストトレーニング作業に匹敵する計算資源でこのトレーニングを実施しました。同社はGPT-Redを内部にとどめ、出荷する製品からは切り離しており、これによってGPT-Redが培った攻撃スキルが実際の攻撃者の手に渡らないようにしています。

GPT-Redがプロンプトインジェクションでモデルを突破する仕組み

GPT-Redは、対戦させたほぼすべてのモデルを突破しており、その対象にはGPT-5.5も含まれます。Dziemianら(2025年)による間接プロンプトインジェクションの再現版アリーナでは、訓練データセットに含まれないシナリオでGPT-5.1を攻撃対象としました。GPT-Redはそのうち84%で攻撃を成功させています。同じシナリオセットで人間のレッドチーマーが成功させた割合はごくわずかでした。

続いて、2つの実環境テストが行われました。OpenAIはGPT-Redを、自社オフィスで稼働するAI運用の自動販売機に向けました。これはAndon Labsが構築したシステムです。シミュレーション上での練習を経て、攻撃側は実際に稼働しているエージェントを攻撃し、3つの目標すべてを達成しました。在庫商品の価格を最低価格である0.50ドルまで引き下げ、同じ0.50ドルで新規の高額商品を出品し、さらに別の顧客の注文をキャンセルさせています。OpenAIはこれらの欠陥を報告し、新たな安全対策が現在テスト中です。

2つ目のテストでは、GPT-5.4 miniを基盤とするCodexコマンドラインエージェントに対してGPT-Redを差し向け、未公開の10件のデータ流出タスクで検証しました。その結果、プロンプトを与えただけのGPT-5.5ベースラインと比べて、より多くのケースで機密データの取得に成功しました。

レッドチーミングの成果をモデルのトレーニングに還元

OpenAIはGPT-Redによる攻撃を自社の本番モデルのトレーニングに組み込んでおり、GPT-5.3以降のすべてのリリースでこれを実施しています。その成果として現時点で登場しているのがGPT-5.6 Solで、同社が最も困難とする直接プロンプトインジェクションのベンチマークにおいて、4カ月前の最良モデルと比べて失敗数が6分の1に減少しています。

GPT-Redの初期バージョンは、「Fake Chain-of-Thought」と呼ばれる手法を発見しており、これはGPT-5.1を95%以上の確率で欺くものでした。この成功率は現在、GPT-5.6 Solでは10%を下回る水準まで低下しています。

開発者向けツールやブラウジングを対象とする複数の間接プロンプトインジェクションのベンチマークでは、最新モデルにおいて精度が97%を上回りました。GPT-Red自身が仕掛ける直接プロンプトインジェクションに対しても、GPT-5.6 Solの失敗率は0.05%にとどまっています。

こうした成果が上がる一方で、モデルの能力は維持されました。OpenAIのテストでは、フロンティア性能や過剰拒否のスコアに変化は見られず、悪意のある指示を検知する能力が向上しながらも、正当な指示への対応は損なわれていないことが示されています。

「私たちは今後も計算資源とデータの規模を拡大しつつ、アルゴリズムの改良を重ね、現行モデルよりも強力な次世代のGPT-Redを訓練していきます。そしてこれらのモデルは、今後リリースされるGPTをより安全なものにする助けとなるでしょう。詳細をまとめたプレプリントは今週中に公開する予定です」と、OpenAIは述べています

翻訳元: https://www.helpnetsecurity.com/2026/07/16/openai-gpt-red-prompt-injection-test/

ソース: helpnetsecurity.com