OpenAI 的 LLM 超级黑客 GPT-Red:让模型更安全的红队对抗器

2026/07/15 sec OpenAI · GPT-Red · 红队测试 · Prompt Injection · Agent 安全 1785 字 · 约 6 分钟 阅读 ...
基于 MIT Technology Review 对 GPT-Red 的报道,梳理 OpenAI 如何用一个可自我博弈的 LLM 超级黑客做红队测试,提升 GPT-5.6 等模型对 prompt injection、伪造 chain-of-thought 和 Agent 攻击的防御能力。

一句话结论

OpenAI 不是只在做更强的模型,也在做更强的攻击者模拟器。MIT Technology Review 报道的 GPT-Red,是一个专门用来“攻击” OpenAI 自家模型的 LLM 超级黑客:它通过自我博弈的方式学习 red-teaming,帮助 OpenAI 找到 prompt injection、伪造 chain-of-thought、网页/邮件/代码场景中的新型攻击路径。

GPT-Red 是什么

GPT-Red 可以理解成一个模型化红队对抗器

它不是给用户直接用的产品,而是 OpenAI 内部用于安全评估的 sparring partner:

  • 一边是 GPT-Red,负责寻找攻击方式;
  • 另一边是被测模型,负责防守;
  • 多轮自我对抗之后,攻击和防御都会被强化。

OpenAI 把它放进了一个模拟真实使用场景的 dojo 里,包括:

  • 浏览网页;
  • 阅读邮件和日历;
  • 编辑代码;
  • 与其他 Agent 交互。

这和传统红队最大不同在于:攻击者不再只是人类测试员,而是一个可以持续挖掘变体的模型。

它主要在测什么

OpenAI 重点关注的是 prompt injection

也就是把恶意指令藏进模型会读到的内容中,比如:

  • 网页文本;
  • 代码注释;
  • 邮件正文;
  • 文档内容;
  • 其他 Agent 的输出。

GPT-Red 已经发现了一些 OpenAI 研究者之前没见过的新型攻击,其中最值得注意的是 fake chain of thought。它会伪造一个看起来像模型“自言自语”的中间推理片段,诱导目标模型接受虚假信息并继续执行。

这类攻击对 Agent 特别危险,因为 Agent 往往会把上下文中的文本当成可行动的信号,而不是只当成普通数据。

为什么这很重要

1. Agent 的攻击面比传统聊天模型大得多

OpenAI 研究员提到,随着模型越来越复杂,尤其是进入 Agent 形态后,风险面和 blast radius 都在增长。Agent 会接触:

  • 文件系统;
  • 浏览器;
  • 邮件;
  • 第三方代码;
  • 外部工具;
  • 其他 Agent。

攻击不再只是“让模型说错话”,而是可能直接变成越权动作、数据泄露或系统破坏

2. 人类红队已经不够快

OpenAI 之所以做 GPT-Red,是因为单靠人类红队已经很难覆盖所有新型攻击变体。模型可以:

  • 持续变换攻击形式;
  • 钻研某个攻击点的最有效写法;
  • 快速扩展攻击模板;
  • 反复试错直到找到最有用的路径。

这让红队测试从人工劳动变成了模型协同工程。

3. 它能显著提高防御质量

报道中给出的结果很直观:OpenAI 让 GPT-Red 复现一批强攻击后,超过 90% 的攻击能打穿旧版 GPT-5,但在 GPT-5.6 上只剩不到 23% 成功。

这说明模型化红队不是“安全秀”,而是真的能把防御压力变成可量化改进。

GPT-Red 的局限

OpenAI 也承认它还不完美:

  • 不擅长多轮来回式攻击;
  • 对图像型 prompt injection 的能力还有限;
  • 仍然需要人类红队补位;
  • 不会对外发布。

这很重要。它说明 GPT-Red 不是万能安全解法,而是帮助发现更多攻击面的内部工具。

对 Agent 安全的启发

GPT-Red 给行业的启发很清楚:

1. 安全评估应该模型化

与其只依赖人工 checklist,不如让模型自动去找模型的弱点。尤其当攻击和防御都越来越依赖语言上下文时,模型化红队更接近真实威胁。

2. 评估环境要贴近真实工作流

OpenAI 不是只测聊天问答,而是把网页、邮件、代码和 Agent 交互都放进 dojo。因为真正的风险往往发生在这些复合场景里。

3. 多模态是下一个坑

GPT-Red 对图像攻击还不够强,而图像、截图、二维码、PDF 都是 prompt injection 的天然载体。说明下一阶段的安全研究会更多转向多模态上下文污染。

4. 红队要持续迭代

攻击会进化,防御也得进化。最好的做法不是“做一次红队测试就结束”,而是把红队变成持续运行的安全能力。

我的看法

GPT-Red 这类工具的意义,不在于它“有多像黑客”,而在于它让模型安全测试开始具备规模化、自动化、可重复的特征。

对于正在做 Agent 的团队来说,这是一种很值得借鉴的方向:

  • 用模型去找模型的漏洞;
  • 用模型去扩展人类红队的覆盖面;
  • 用模型去验证新防御是否真的有效。

但也要清醒一点:

  • 攻击模拟器本身也是高风险能力;
  • 它不能代替人类判断;
  • 它也不能替代沙箱、权限隔离和审计。

最终真正能提升安全性的,还是“模型化红队 + 运行时治理 + 身份与权限控制”的组合。

参考资料

文档信息