OpenAI создала модель, которая ломает GPT-5.5: безопасность нейросетей проверяет ИИ-взломщик
Microsoft и другие компании тратят миллионы на внешние аудиты, но OpenAI пошла другим путём и вложила вычислительные ресурсы масштаба крупнейших тренировок в создание собственной атакующей модели GPT-Red, которая ломает даже GPT-5.5.

OpenAI впервые раскрыла, что её внутренняя модель-атакующий обнаружила неизвестный ранее класс атак на нейросети и успешно взломала реальные продукты, включая торговый автомат и CLI-агента, а не только лабораторные тесты.
Компания опубликовала технические подробности GPT-Red на фоне растущего давления регуляторов и сообщества на тему безопасности нейросетей. До сих пор основным методом проверки было ручное «красное командование» (red teaming), когда живые специалисты пытаются обмануть модель. OpenAI прямо заявляет: ручной подход не масштабируется, а стандартные бенчмарки последние модели компании уже «насытили», то есть проходят их слишком легко.
Источник: блог OpenAI, июнь 2025 года.
| Параметр | Значение |
|---|---|
| Кто | OpenAI |
| Что | GPT-Red, внутренняя модель для автоматического поиска уязвимостей |
| Тип | Внутренняя разработка, масштаб вычислений сопоставим с крупнейшими тренировками компании |
| Статус | Только для внутреннего использования, не выпущена публично |
Что делает GPT-Red и почему это не просто очередной тест?
GPT-Red это не набор готовых промптов и не статический тест. Это полноценная модель, которая ведёт себя как живой взломщик: отправляет промпт, смотрит на ответ, корректирует стратегию и пробует снова.
Обучают её методом самоигры с подкреплением (self-play reinforcement learning, когда атакующая и защищающая модели тренируются одновременно). Ключевое правило: защитник не может просто отказывать на всё подряд, он обязан выполнить исходную задачу. Это делает тренировку реалистичной, в жизни ИИ-агент тоже не может «уйти в отказ», иначе он бесполезен.
По мере того как защитники становятся крепче, GPT-Red вынуждена находить новые и более изощрённые атаки. К концу тренировки она взламывает практически все модели, с которыми её сталкивают, включая внутренние и продуктовые модели вплоть до GPT-5.5.
Атака, которую не видели люди
В процессе тренировки GPT-Red обнаружила неизвестный ранее класс атак. OpenAI назвала его «поддельная цепочка рассуждений» (fake chain-of-thought).
Цепочка рассуждений это внутренний «черновик», который модель ведёт, пока решает задачу. GPT-Red научилась вставлять в этот черновик поддельную запись. Модель-жертва принимала подложную информацию за свою собственную проверенную мысль и действовала на её основе.
OpenAI подчёркивает: этот класс атак не был известен исследователям компании до того, как его нашла GPT-Red. После обнаружения он стал целью для дальнейшей тренировки защиты.
Два реальных взлома, а не лабораторные упражнения
OpenAI проверила GPT-Red не только на бенчмарках, но и на двух настоящих системах, причём с неполным знанием об их устройстве.
Торговый автомат Vendy. Это ИИ-автомат в офисе OpenAI, построенный компанией Andon Labs. GPT-Red сначала отработала атаки в симуляции, затем перенесла их на реальную систему. Результат:
- Снизила цену дорогого товара до минимально допустимых $0,50
- Заказала новый товар стоимостью свыше $100 и выставила его за $0,50
- Отменила заказ другого покупателя
OpenAI сообщила об уязвимостях разработчикам, новые защитные меры тестируются.
CLI-агент на базе GPT-5.4 mini. Codex CLI (инструмент командной строки для разработчиков) был атакован по десяти сценариям кражи данных. GPT-Red оказалась результативнее и экономичнее по токенам (единицам текста, которые модель обрабатывает за один шаг), чем базовая атака через промпт на GPT-5.5.
Как выглядит атака изнутри?
В опубликованном OpenAI примере ИИ-агент ищет файлы через инструмент file_search. В метаданных найденного файла спрятана поддельная инструкция, замаскированная под системное правило об отправке диагностики на внешний сервер.
GPT-5.1 послушно выполнила эту инструкцию и отправила данные на сервер атакующего. GPT-5.6 устояла: модель распознала, что инструкция в выводе инструмента подозрительна, и проигнорировала её.
Это показывает, зачем нужна безопасность нейросетей на уровне архитектуры, а не только на уровне фильтров: агент, который читает внешние данные, браузер, почту, файлы, неизбежно натыкается на подготовленные ловушки.
Мы обнаружили новый класс прямой инъекции промпта, не замеченный ранее нашими исследователями. : Команда OpenAI, блог компании
Для авторов контента и предпринимателей суть проста: ИИ-агенты, которые работают с внешними данными (читают почту, ищут файлы, ходят по сайтам), уязвимы к атакам через эти данные. Пока модели учатся защищаться, любой, кто встраивает ИИ в свой бизнес, должен понимать: безопасность нейросетей это не абстракция, а конкретный риск утечки данных или подмены действий.
Что это значит для вас?
OpenAI фактически признала, что ручное тестирование безопасности не справляется с масштабом проблемы, и поставила на то, что только ИИ может эффективно ломать ИИ. Это честный ход, но с оговоркой: GPT-Red закрыта от внешнего мира. Независимые исследователи не могут проверить, насколько полно она находит уязвимости и какие классы атак остаются за пределами её тренировки.
По моим наблюдениям, российские ИИ-сервисы пока не публикуют подобных отчётов о внутреннем red teaming, хотя YandexGPT и GigaChat тоже работают с внешними данными и подвержены тем же классам атак.
Разработчикам в РФ и СНГ. Описанные атаки, поддельные инструкции в метаданных файлов, в выводе инструментов, в тексте писем, применимы к любому ИИ-агенту, не только к продуктам OpenAI. Если вы строите агента, который читает внешние данные, проверьте: отделяет ли ваша система инструкции пользователя от содержимого внешних источников.
Авторам на Дзене. Если вы используете ИИ для сбора информации из разных источников, имейте в виду: модель может «послушаться» инструкции, спрятанной в тексте, который она анализирует. Перепроверяйте результаты, особенно если агент сам ходит по ссылкам.
Предпринимателям. Перед внедрением ИИ-агентов в бизнес-процессы (обработка заявок, работа с почтой, управление заказами) заложите бюджет на тестирование безопасности. Пример с торговым автоматом, который переоценил товар и отменил чужой заказ, показывает, что атака может быть не теоретической, а вполне денежной.
GPT-Red недоступна за пределами OpenAI. Повторить эти тесты на своих системах с помощью GPT-Red нельзя. Опубликованный код позволяет оценить только формат атаки, но не воспроизвести мощность атакующей модели. Для локального тестирования безопасности нейросетей придётся использовать открытые инструменты или заказывать аудит у специализированных команд.
Главный вывод не в том, что OpenAI нашла новую уязвимость. Вывод в том, что компания прямо говорит: стандартные методы проверки перестали работать, и единственный способ масштабировать безопасность нейросетей, это натравить одну модель на другую. Кто в российском ИИ-рынке первым сделает то же самое публично, тот получит серьёзное конкурентное преимущество в доверии пользователей.

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».
Читайте также
GPT-Red от OpenAI снизил успешность атак на модели с 90% до 23%
GPT-Red автоматизирует так называемый ред-тиминг (red-teaming), то есть тестирование безопасности моделей OpenAI, и по данным компании обнаружил ранее…

Маркетинг ИИ-продуктов после вайбкодинга: три канала, которые уже приносят результат
Маркетинг ИИ-продуктов стал главным узким местом для тех, кто собирает сервисы с помощью вайбкодинга, и этот текст покажет три рабочих канала продвижения,…

Операционная система на C с нуля: студент понял, почему нейросеть убивает навык учиться
Давайте разберёмся с контекстом. Оригинал — это не новость о запуске продукта, а личная статья-рефлексия студента-программиста о том, как он пишет ядро ОС на…
Комментарии