Игорь Градов
Игорь Градов
5 мин
ai

OpenAI создала модель, которая ломает GPT-5.5: безопасность нейросетей проверяет ИИ-взломщик

Microsoft и другие компании тратят миллионы на внешние аудиты, но OpenAI пошла другим путём и вложила вычислительные ресурсы масштаба крупнейших тренировок в создание собственной атакующей модели GPT-Red, которая ломает даже GPT-5.5.

OpenAI создала модель, которая ломает GPT-5.5: безопасность нейросетей проверяет ИИ-взломщик
Почему это важно

OpenAI впервые раскрыла, что её внутренняя модель-атакующий обнаружила неизвестный ранее класс атак на нейросети и успешно взломала реальные продукты, включая торговый автомат и CLI-агента, а не только лабораторные тесты.

Компания опубликовала технические подробности GPT-Red на фоне растущего давления регуляторов и сообщества на тему безопасности нейросетей. До сих пор основным методом проверки было ручное «красное командование» (red teaming), когда живые специалисты пытаются обмануть модель. OpenAI прямо заявляет: ручной подход не масштабируется, а стандартные бенчмарки последние модели компании уже «насытили», то есть проходят их слишком легко.

Источник: блог OpenAI, июнь 2025 года.

Параметр Значение
Кто OpenAI
Что GPT-Red, внутренняя модель для автоматического поиска уязвимостей
Тип Внутренняя разработка, масштаб вычислений сопоставим с крупнейшими тренировками компании
Статус Только для внутреннего использования, не выпущена публично

Что делает GPT-Red и почему это не просто очередной тест?

GPT-Red это не набор готовых промптов и не статический тест. Это полноценная модель, которая ведёт себя как живой взломщик: отправляет промпт, смотрит на ответ, корректирует стратегию и пробует снова.

Обучают её методом самоигры с подкреплением (self-play reinforcement learning, когда атакующая и защищающая модели тренируются одновременно). Ключевое правило: защитник не может просто отказывать на всё подряд, он обязан выполнить исходную задачу. Это делает тренировку реалистичной, в жизни ИИ-агент тоже не может «уйти в отказ», иначе он бесполезен.

По мере того как защитники становятся крепче, GPT-Red вынуждена находить новые и более изощрённые атаки. К концу тренировки она взламывает практически все модели, с которыми её сталкивают, включая внутренние и продуктовые модели вплоть до GPT-5.5.

Атака, которую не видели люди

В процессе тренировки GPT-Red обнаружила неизвестный ранее класс атак. OpenAI назвала его «поддельная цепочка рассуждений» (fake chain-of-thought).

Цепочка рассуждений это внутренний «черновик», который модель ведёт, пока решает задачу. GPT-Red научилась вставлять в этот черновик поддельную запись. Модель-жертва принимала подложную информацию за свою собственную проверенную мысль и действовала на её основе.

OpenAI подчёркивает: этот класс атак не был известен исследователям компании до того, как его нашла GPT-Red. После обнаружения он стал целью для дальнейшей тренировки защиты.

Два реальных взлома, а не лабораторные упражнения

OpenAI проверила GPT-Red не только на бенчмарках, но и на двух настоящих системах, причём с неполным знанием об их устройстве.

Торговый автомат Vendy. Это ИИ-автомат в офисе OpenAI, построенный компанией Andon Labs. GPT-Red сначала отработала атаки в симуляции, затем перенесла их на реальную систему. Результат:

  • Снизила цену дорогого товара до минимально допустимых $0,50
  • Заказала новый товар стоимостью свыше $100 и выставила его за $0,50
  • Отменила заказ другого покупателя

OpenAI сообщила об уязвимостях разработчикам, новые защитные меры тестируются.

CLI-агент на базе GPT-5.4 mini. Codex CLI (инструмент командной строки для разработчиков) был атакован по десяти сценариям кражи данных. GPT-Red оказалась результативнее и экономичнее по токенам (единицам текста, которые модель обрабатывает за один шаг), чем базовая атака через промпт на GPT-5.5.

Как выглядит атака изнутри?

В опубликованном OpenAI примере ИИ-агент ищет файлы через инструмент file_search. В метаданных найденного файла спрятана поддельная инструкция, замаскированная под системное правило об отправке диагностики на внешний сервер.

GPT-5.1 послушно выполнила эту инструкцию и отправила данные на сервер атакующего. GPT-5.6 устояла: модель распознала, что инструкция в выводе инструмента подозрительна, и проигнорировала её.

Это показывает, зачем нужна безопасность нейросетей на уровне архитектуры, а не только на уровне фильтров: агент, который читает внешние данные, браузер, почту, файлы, неизбежно натыкается на подготовленные ловушки.

Мы обнаружили новый класс прямой инъекции промпта, не замеченный ранее нашими исследователями. : Команда OpenAI, блог компании

Почему это важно

Для авторов контента и предпринимателей суть проста: ИИ-агенты, которые работают с внешними данными (читают почту, ищут файлы, ходят по сайтам), уязвимы к атакам через эти данные. Пока модели учатся защищаться, любой, кто встраивает ИИ в свой бизнес, должен понимать: безопасность нейросетей это не абстракция, а конкретный риск утечки данных или подмены действий.

Что это значит для вас?

Мнение редакции dzen.guru

OpenAI фактически признала, что ручное тестирование безопасности не справляется с масштабом проблемы, и поставила на то, что только ИИ может эффективно ломать ИИ. Это честный ход, но с оговоркой: GPT-Red закрыта от внешнего мира. Независимые исследователи не могут проверить, насколько полно она находит уязвимости и какие классы атак остаются за пределами её тренировки.

По моим наблюдениям, российские ИИ-сервисы пока не публикуют подобных отчётов о внутреннем red teaming, хотя YandexGPT и GigaChat тоже работают с внешними данными и подвержены тем же классам атак.

Разработчикам в РФ и СНГ. Описанные атаки, поддельные инструкции в метаданных файлов, в выводе инструментов, в тексте писем, применимы к любому ИИ-агенту, не только к продуктам OpenAI. Если вы строите агента, который читает внешние данные, проверьте: отделяет ли ваша система инструкции пользователя от содержимого внешних источников.

Авторам на Дзене. Если вы используете ИИ для сбора информации из разных источников, имейте в виду: модель может «послушаться» инструкции, спрятанной в тексте, который она анализирует. Перепроверяйте результаты, особенно если агент сам ходит по ссылкам.

Предпринимателям. Перед внедрением ИИ-агентов в бизнес-процессы (обработка заявок, работа с почтой, управление заказами) заложите бюджет на тестирование безопасности. Пример с торговым автоматом, который переоценил товар и отменил чужой заказ, показывает, что атака может быть не теоретической, а вполне денежной.

Где подвох

GPT-Red недоступна за пределами OpenAI. Повторить эти тесты на своих системах с помощью GPT-Red нельзя. Опубликованный код позволяет оценить только формат атаки, но не воспроизвести мощность атакующей модели. Для локального тестирования безопасности нейросетей придётся использовать открытые инструменты или заказывать аудит у специализированных команд.

Главный вывод не в том, что OpenAI нашла новую уязвимость. Вывод в том, что компания прямо говорит: стандартные методы проверки перестали работать, и единственный способ масштабировать безопасность нейросетей, это натравить одну модель на другую. Кто в российском ИИ-рынке первым сделает то же самое публично, тот получит серьёзное конкурентное преимущество в доверии пользователей.

Поделиться:TelegramVK
Игорь Градов
Игорь Градов

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».

Комментарии

Читайте также

ai

GPT-Red от OpenAI снизил успешность атак на модели с 90% до 23%

GPT-Red автоматизирует так называемый ред-тиминг (red-teaming), то есть тестирование безопасности моделей OpenAI, и по данным компании обнаружил ранее…

5 мин
Маркетинг ИИ-продуктов после вайбкодинга: три канала, которые уже приносят результат
ai

Маркетинг ИИ-продуктов после вайбкодинга: три канала, которые уже приносят результат

Маркетинг ИИ-продуктов стал главным узким местом для тех, кто собирает сервисы с помощью вайбкодинга, и этот текст покажет три рабочих канала продвижения,…

6 мин
Операционная система на C с нуля: студент понял, почему нейросеть убивает навык учиться
ai

Операционная система на C с нуля: студент понял, почему нейросеть убивает навык учиться

Давайте разберёмся с контекстом. Оригинал — это не новость о запуске продукта, а личная статья-рефлексия студента-программиста о том, как он пишет ядро ОС на…

5 мин