Игорь Градов
Игорь Градов
5 мин
ai

GPT-Red от OpenAI снизил успешность атак на модели с 90% до 23%

GPT-Red автоматизирует так называемый ред-тиминг (red-teaming), то есть тестирование безопасности моделей OpenAI, и по данным компании обнаружил ранее неизвестный тип атаки, который разработчики назвали «поддельная цепочка рассуждений» (fake chain of thought), а на защиту модели GPT-5.6 компания потратила больше года работы при собственных вычислительных ресурсах.

Почему это важно

OpenAI впервые раскрыла, что безопасность её флагманской модели GPT-5.6 тестировалась не только людьми, а специально обученной языковой моделью-хакером: по данным компании, доля успешных атак снизилась с более чем 90% на GPT-5 до менее 23% на GPT-5.6.

До появления GPT-Red ред-тиминг, то есть поиск уязвимостей в моделях, выполняли живые специалисты. Но с ростом числа задач, где используются большие языковые модели (LLM), особенно в формате ИИ-агентов (программ, которые сами выполняют действия: читают почту, редактируют код, ходят по сайтам), людям всё сложнее перебрать все возможные виды атак. Об этом рассказало издание MIT Technology Review со ссылкой на эксклюзивное интервью с исследователями OpenAI.

Параметр Данные
Кто OpenAI
Продукт GPT-Red
Тип Внутренняя модель для автоматизированного ред-тиминга
Срок разработки Более года
Публичный релиз Не планируется
Дата выхода GPT-5.6 Неделя до публикации материала

Что сделали и как это работает?

OpenAI взяла языковую модель, которая изначально не была обучена как хакер, и поместила её в так называемый цикл самоигры (self-play loop) с несколькими другими моделями. Задача GPT-Red: атаковать. Задача остальных: защищаться. За множество раундов атакующая модель становилась всё изощрённее, а защитники учились отбиваться.

Тренировка проходила в специальной среде, имитирующей реальные сценарии: просмотр веб-страниц, чтение почты и календаря, редактирование кода. Именно те случаи, в которых ИИ-агенты сегодня работают на практике.

Основное внимание компания сосредоточила на промпт-инъекциях (prompt injection). Это тип атаки, при котором злоумышленник подсовывает модели скрытые инструкции, заставляя её, например:

  • копировать конфиденциальные данные,
  • портить код компании,
  • генерировать нежелательный контент.

Такие инструкции могут быть спрятаны в любом тексте, который модель обрабатывает: на сайте, в письме, в коде.

«Поддельная цепочка рассуждений»: атака, которую нашла машина, а не человек

GPT-Red обнаружил ранее неизвестный тип промпт-инъекции, названный «поддельная цепочка рассуждений» (fake chain of thought). Цепочка рассуждений (chain of thought) это внутренний «дневник» рассуждающей модели, где она фиксирует промежуточные шаги при решении задачи. GPT-Red нашёл способ вставить поддельную запись в этот дневник, чтобы модель приняла ложную информацию за свою проверенную.

Это как если бы я сказал вам, что 1+1=3, и что вы уже это проверили. Модель отвечает: «Ну конечно», и выдаёт 3. : Крис Шокетт-Чу, исследователь OpenAI

По данным OpenAI, когда GPT-Red получил те же задачи, что и живые ред-тимеры в эксперименте 2025 года, он нашёл больше работающих атак, чем люди. Также GPT-Red протестировали на Vendy, агенте вендингового автомата от компании Andon Labs: модель-хакер смогла изменить цены товаров и отменить заказ клиента.

Числа, которые показала OpenAI

Компания заявила, что более 90% сильнейших атак GPT-Red срабатывали против GPT-5 (выпущена в августе прошлого года). Против новой GPT-5.6 срабатывали менее 23%. Снижение с 90% до 23% компания объясняет именно тем, что GPT-5.6 тренировалась «в спарринге» с GPT-Red.

При этом GPT-Red не идеален:

  • Плохо справляется с атаками, которые требуют многоходового диалога между хакером и целью. Живым атакующим такие атаки даются без проблем.
  • Пока слабо использует изображения, которые тоже могут служить каналом для промпт-инъекций.

Люди по-прежнему находят атаки, которые GPT-Red пропускает. Один из подходов OpenAI: передать модели человеческую атаку и попросить найти все её вариации.

Я думаю, что человеческая экспертиза по-прежнему очень важна. Было бы полезно научиться определять, где тестирование людьми нужнее всего. : Джессика Джи, старший аналитик по безопасности ИИ, Центр безопасности и новых технологий (CSET), Джорджтаунский университет

OpenAI не планирует публиковать GPT-Red. Компания уверена, что воспроизвести эту модель непросто: на её создание ушло больше года при вычислительных ресурсах одной из богатейших компаний мира.

Что это значит для вас?

Мнение редакции dzen.guru

GPT-Red не продукт, который можно купить или попробовать. Это внутренний инструмент OpenAI, и релиз не планируется. Но сам факт его существования меняет кое-что конкретное.

Для авторов Дзена и копирайтеров. Если вы используете GPT-модели для генерации текстов, публикуемых на сайте или в рассылке, вас касается именно промпт-инъекция: злоумышленник может спрятать в тексте, который обрабатывает ваш ИИ-агент, команду, заставляющую модель выдать что-то нежелательное. GPT-5.6, по данным OpenAI, защищена от этого лучше предшественников. Практический шаг: обновляйте модель до последней версии, не работайте на устаревших.

Для маркетологов и предпринимателей. Безопасность ИИ-агентов, тех, которые обрабатывают почту, код, заказы, теперь тестируется не только людьми, а автоматическими «спаррингами». Это потенциально снижает риск инцидентов, но не устраняет его полностью: многоходовые атаки и атаки через изображения пока остаются уязвимым местом.

Для пользователей в России и СНГ. GPT-Red как отдельный продукт недоступен и не будет выпущен. Но тема промпт-инъекций актуальна для любых LLM, включая российские (YandexGPT, GigaChat). По моим наблюдениям, вопросы защиты от инъекций на русском языке исследованы слабее, чем на английском: русскоязычные промпты часто обходят фильтры иначе, а публичных бенчмарков по безопасности русскоязычных моделей пока нет. Если вы строите сервис на LLM для российской аудитории, тестируйте защиту от инъекций на русском языке вручную, пока автоматизированных инструментов уровня GPT-Red для русского нет.

Оговорка: все цифры (90%, 23%) приведены самой OpenAI, независимого аудита этих результатов на момент публикации нет.

Где подвох?

GPT-Red тестирует только модели OpenAI. Компания не планирует делать из него публичный сервис. Для тех, кто использует другие модели или строит собственные решения, этот инструмент ничего напрямую не меняет. Единственный перенос, косвенный: понимание новых типов атак (как «поддельная цепочка рассуждений») помогает ставить правильные вопросы при собственном тестировании.

Факт в том, что защита LLM перестала быть задачей только для людей. OpenAI показала, как модель обучает модель защищаться, и привела конкретные числа снижения успешных атак. Для тех, кто внедряет ИИ-агентов в бизнес-процессы, вывод один: тестируйте безопасность своих сценариев до запуска, а не после первого инцидента.

Поделиться:TelegramVK
Игорь Градов
Игорь Градов

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».

Комментарии

Читайте также

ИИ-агенты это не ускорение, если нет процесса: пилот Авито на 100 инженерах не показал роста
ai

ИИ-агенты это не ускорение, если нет процесса: пилот Авито на 100 инженерах не показал роста

Мультимодальные ИИ-агенты (ИИ-агенты это программы, которые сами выполняют задачи инженера: создают файлы, редактируют код, запускают команды) обещают ускорить…

6 мин
Семантический поиск без GPU и облака: «Первая Форма» уложила конвейер в 1,3 секунды на CPU
ai

Семантический поиск без GPU и облака: «Первая Форма» уложила конвейер в 1,3 секунды на CPU

Семантический поиск (способность системы находить документы по смыслу, а не по точному совпадению слов) обычно требует облака, видеокарт и отдельных баз…

6 мин
Как нейросеть дает ложные срабатывания
ai

Как нейросеть дает ложные срабатывания

Нейросеть, которая ищет уязвимости в коде, часто кричит «пожар» там, где горит только лампочка кофемашины: тысячи ложных срабатываний хоронят настоящие…

6 мин