GPT-Red: ИИ-пентест для нейросетей — 84% успеха против 13% у людей

📋 Кратко

OpenAI представила GPT-Red — специализированную модель для автоматизированного red teaming, которая в тестах показала эффективность 84% при поиске уязвимостей prompt injection, тогда как у людей-пентестеров этот показатель составил лишь 13%. Система использует self-play reinforcement learning: GPT-Red одновременно учится атаковать, а защищающиеся модели — отражать атаки. Уже интегрирована в обучение GPT-5.6 Sol, сократив количество уязвимостей в 6 раз по сравнению с GPT-5.5.

⏱ 7 минут чтениясложность

В июле 2026 года OpenAI опубликовала детали GPT-Red — внутренней системы автоматизированного red teaming, которая способна находить уязвимости в языковых моделях с эффективностью, недоступной человеку. По данным компании, GPT-Red успешно атакует модели в 84% сценариев, тогда как профессиональные пентестеры справляются лишь в 13% случаев. Эта разработка знаменует переход от ручного тестирования безопасности ИИ к масштабируемому, автоматизированному подходу, где одна нейросеть охотится за слабостями другой.

Особую важность GPT-Red приобретает на фоне стремительного распространения агентных систем — моделей, которые получают доступ к браузеру, файловой системе, сторонним API и могут выполнять действия от имени пользователя. Каждый такой инструмент расширяет поверхность атаки, и традиционные методы тестирования перестают справляться с масштабом. GPT-Red решает эту проблему, действуя как неутомимый пентестер, работающий 24/7.

ИИ-пентестер против человека в киберпространстве
ИИ-пентестер против человека в киберпространстве

🎯 Что такое GPT-Red и зачем он нужен

GPT-Red — это специализированная языковая модель, созданная исключительно для тестирования безопасности других ИИ-систем. В отличие от универсальных моделей, GPT-Red оптимизирован для одной задачи: найти способ заставить целевую модель выполнить вредоносное действие через prompt injection. Компания OpenAI описывает его как «сильного red-teamera», подчёркивая, что предыдущие версии их моделей крайне уязвимы к его атакам.

Самообучающаяся дуэль атакующего и защищающегося ИИ
Самообучающаяся дуэль атакующего и защищающегося ИИ

Необходимость в таком инструменте возникла не на пустом месте. По мере того как языковые модели получают всё больше агентных возможностей — подключение к внешним сервисам, выполнение кода, работа с документами и браузером — растёт и количество векторов атак. Злоумышленник может внедрить вредоносную инструкцию в электронное письмо, веб-страницу, ответ инструмента или репозиторий кода. Модель, доверяющая этим данным, рискует выполнить атаку, даже не осознавая этого.

GPT-Red решает задачу масштабирования red teaming: там, где человек может провести десятки тестов в день, ИИ-пентестер проводит тысячи, постоянно адаптируясь к новым механизмам защиты. Как заявили в OpenAI, «GPT-Red создан, чтобы дополнять human red-teaming в масштабе, позволяя выявлять новые классы отказов, улучшать устойчивость и строить контрмеры до развёртывания моделей».

⚠ Ключевые цифры: GPT-Red достигает 84% успешных атак против 13% у людей-пентестеров. GPT-5.6 Sol, обученная с использованием GPT-Red, показала в 6 раз меньше сбоев при прямых prompt injection по сравнению с GPT-5.5.

🛠️ Как работает GPT-Red: самообучающийся red team

В основе GPT-Red лежит метод self-play reinforcement learning — самообучение через игру. Процесс организован как соревнование между атакующей и защищающейся сторонами:

ИИ взламывает торговый автомат в реальном мире
ИИ взламывает торговый автомат в реальном мире
  • Атакующая модель (GPT-Red) — получает вознаграждение за каждую успешную атаку. Её задача — найти способ заставить целевую модель выполнить запрещённое действие, будь то кража данных, изменение настроек или выполнение вредоносного кода.
  • Коллекция защищающихся моделей — разнообразные LLM, которые обучаются отражать атаки. Каждая из них штрафуется за «успешное» выполнение вредоносной инструкции и получает награду за сохранение исходного поведения.

Процесс обучения итеративный: GPT-Red отправляет промпт, наблюдает за ответом модели и корректирует стратегию. Как только защитники становятся неуязвимыми к текущим методам атак, GPT-Red вынужден изобретать новые, более изощрённые способы обхода защиты. Это создаёт бесконечную гонку вооружений, которая в итоге делает конечную модель значительно устойчивее.

Важная деталь: GPT-Red изолирован от производственных моделей. OpenAI специально подчёркивает, что вредоносные способности, развитые в ходе обучения, не должны попасть к злоумышленникам. Сама система GPT-Red физически и логически отделена от GPT-5.6 Sol и других публично доступных моделей.

В число тестовых сценариев, отрабатываемых GPT-Red, входят:

  • Кража внутреннего каталога файлов (directory exfiltration)
  • Формирование мошеннических платёжных инструкций
  • Кража учётных данных AWS (AWS credential exfiltration)
  • Отключение двухфакторной аутентификации
  • Загрузка файлов с учётными данными на внешний сервер
  • Внедрение внешних скриптов
  • Пересылка API-ключей
  • Запуск вредоносных скриптов-скрейперов

📊 Результаты: 84% против 13% — цифры и реальные кейсы

Сравнение эффективности GPT-Red и людей-пентестеров проводилось на наборе сценариев косвенного prompt injection. В тестах GPT-Red превзошёл человека по всем метрикам: 84% успешных атак против 13% у профессиональных red-team-специалистов. При атаках на GPT-5.1 разрыв был ещё более впечатляющим — GPT-Red демонстрировал успех в большем числе сценариев, чем любая группа людей-тестировщиков.

Поддельная цепочка рассуждений маскирует атаку на ИИ
Поддельная цепочка рассуждений маскирует атаку на ИИ

Однако OpenAI не ограничилась лабораторными тестами. Компания провела два показательных эксперимента в реальных условиях:

Кейс 1: Вендинговый аппарат на ИИ. Целью стала AI-система управления торговым автоматом, разработанная стартапом Andon Labs. GPT-Red, предварительно «потренировавшись» в симуляции, последовательно добился трёх целей: снизил цену дорогого товара до минимально разрешённых $0,50, заказал новый товар стоимостью $100 за ту же сумму и отменил заказ другого клиента. После ответственного разглашения (responsible disclosure) были запущены новые средства защиты.

Кейс 2: Codex CLI-агент. GPT-Red атаковал командного агента на базе GPT-5.4 mini в 10 задачах на кражу данных. В тестах GPT-Red добился утечки конфиденциальных данных в большем числе случаев, чем обычная промптированная GPT-5.5. Это наглядно демонстрирует, что даже продвинутые модели остаются уязвимыми, если их целенаправленно тестировать.

🔬 Fake Chain-of-Thought и новые классы атак

Одно из самых значимых открытий, сделанных GPT-Red, — это новый класс атак, получивший название Fake Chain-of-Thought (Fake CoT). Атака эксплуатирует механизм «цепочки рассуждений», который модели используют для пошагового решения задач. GPT-Red обнаружил, что можно заставить модель сгенерировать поддельную цепочку рассуждений, которая приводит к выполнению вредоносной инструкции, маскируя её под легитимный процесс.

Многослойная киберзащита отражает атаки на ИИ-модель
Многослойная киберзащита отражает атаки на ИИ-модель

Эффективность Fake CoT-атак на GPT-5.1 превышала 95%. После интеграции GPT-Red в процесс обучения GPT-5.6 Sol этот показатель удалось снизить до менее чем 10% — впечатляющий результат, подтверждающий ценность подхода.

Кроме того, GPT-Red помог «насытить» несколько бенчмарков косвенного prompt injection, добившись точности более 97% в обнаружении и использовании атак на инструменты разработчика и браузерные сценарии. Это означает, что текущие тестовые наборы больше не представляют сложности для системы, и требуются новые, более сложные бенчмарки.

📈 Динамика устойчивости: Атаки Fake CoT — 95% успеха на GPT-5.1 → менее 10% на GPT-5.6 Sol. Косвенный prompt injection — более 97% точности обнаружения на текущих бенчмарках.

🛡️ Практические уроки: защита от prompt injection

Опыт GPT-Red даёт несколько конкретных рекомендаций для команд, разрабатывающих и эксплуатирующих ИИ-системы:

Будущее ИИ-пентеста: сертификация и автономные системы
Будущее ИИ-пентеста: сертификация и автономные системы
  1. Внедряйте adversarial training в конвейер. Если у вас нет ресурсов на создание аналога GPT-Red, используйте open-source решения для автоматизированного тестирования безопасности моделей. Регулярное adversarial training должно стать частью CI/CD для ML-моделей.
  2. Изолируйте критически важные модели. Агентные системы, имеющие доступ к платёжным данным, учётным записям или API, должны быть сегментированы. Используйте принцип наименьших привилегий даже для ИИ-агентов.
  3. Строите защиту от косвенных атак. Prompt injection через документы, электронную почту и веб-страницы — наиболее трудный для обнаружения вектор. Внедряйте фильтрацию входных данных на уровне приложения, а не только на уровне модели.
  4. Мониторьте поведение модели в runtime. Даже самая защищённая модель может быть атакована. Логируйте все нестандартные действия агента: доступ к чувствительным данным, изменения конфигурации, платёжные операции.
  5. Проводите регулярное red teaming. Не полагайтесь только на автоматизированные тесты. Комбинация человеческой экспертизы и ИИ-пентеста (как GPT-Red) даёт наилучший результат: люди ставят нестандартные задачи, а ИИ обеспечивает масштаб проверок.

Важно понимать: prompt injection — это не баг LLM, а особенность архитектуры. Пока модель принимает текст на вход и выдаёт текст на выходе, атаки этого класса будут существовать. Задача разработчиков — минимизировать ущерб от успешных атак через многослойную защиту.

🌍 Будущее ИИ-пентеста

GPT-Red — лишь первый шаг к полностью автономным системам тестирования безопасности ИИ. Уже сейчас можно выделить несколько трендов, которые определят развитие этой области в ближайшие годы:

  • Открытые аналоги GPT-Red. Вероятно, появление open-source решений для автоматизированного red teaming, основанных на самообучении. Такие системы позволят небольшим командам проверять свои модели без доступа к вычислительным ресурсам уровня OpenAI.
  • Специализированные бенчмарки. Текущие тесты prompt injection уже не представляют сложности для систем уровня GPT-Red. Потребуются новые, более сложные многокомпонентные сценарии, включающие взаимодействие нескольких агентов.
  • Интеграция в комплаенс и аудит. Регуляторы всё чаще обращают внимание на безопасность ИИ-систем. Автоматизированный пентест может стать обязательным элементом сертификации ML-моделей, особенно в секторах КИИ.
  • Гонка вооружений «атакующий — защищающийся». По мере совершенствования защит атакующие ИИ-системы будут вынуждены изобретать принципиально новые методы обхода. Это циклический процесс, который не имеет конечной точки.

На данный момент GPT-Red — это не исследовательский прототип, а система, уже повлиявшая на безопасность продуктов, используемых миллионами людей. GPT-5.6 Sol, обученная с помощью GPT-Red, — самая устойчивая к prompt injection модель OpenAI на сегодняшний день. И это только начало.

📚 Читайте также

📖 Термины

Adversarial ML · Безопасность моделей ИИ · Искусственный интеллект · Пентест · Социальная инженерия

🔗 Источники