OpenAI打造GPT-Red:用AI攻击AI,旧版GPT-5九成漏洞被攻破

2026年7月,OpenAI公开了其内部研发的一个特殊AI系统——GPT-Red。这个系统的独特之处在于,它的唯一使命不是帮助用户,而是攻击OpenAI自家的模型。通过让AI自己”黑”自己,OpenAI希望在新一代模型发布前发现并修复潜在的安全漏洞。

## 什么是红队测试

红队测试(Red-teaming)是网络安全领域的标准实践。通常由一组人类安全专家模拟真实攻击者,尽可能多地发现系统的弱点和漏洞,以便在软件正式发布前进行修补。

然而,随着大语言模型(LLM)变得越来越复杂,尤其是当它们以”智能体”(Agent)的形式运行时——可以访问计算机文件、浏览网页、执行第三方代码,甚至与其他智能体交互——人类测试团队已经难以覆盖所有可能的攻击场景。

“攻击面在扩大,爆炸半径也在扩大。”GPT-Red的联合创造者、OpenAI研究科学家Nikhil Kandpal如此形容当前的安全挑战。

## 自博弈训练:在对抗中进化

OpenAI训练GPT-Red的方法被称为”自博弈”(self-play)。具体过程如下:

研究人员从一个未经黑客训练的LLM出发,让它与多个防守模型进行多轮对抗。GPT-Red的目标是尽可能攻破对方,而防守模型的目标是抵御攻击。经过无数轮博弈,GPT-Red变得越来越擅长发现漏洞,防守模型也变得越来越 robust。

这个训练过程发生在一个专门设计的模拟环境中,涵盖了LLM在现实世界中可能遇到的各种场景:浏览网页、读取邮件和日历、编辑代码等。

## 发现全新攻击类型:假思维链

GPT-Red最令人瞩目的发现是一种前所未见的攻击方式——”假思维链”(fake chain of thought)。

思维链(Chain of Thought)是LLM在解决复杂问题时记录中间推理步骤的一种内部机制,类似于人类的草稿纸。GPT-Red发现,它可以在另一个模型的思维链中插入虚假条目,从而欺骗该模型接受伪造的信息。

OpenAI研究科学家Chris Choquette-Choo用一个简单例子解释:”就像我告诉你1+1=3,而且你已经验证过了。模型就会想——’哦好的,当然’——然后直接输出3。”

这种攻击极其隐蔽,因为传统的安全测试通常不会检查模型内部的思维链是否被篡改。

## 成效数据:安全防线的质的飞跃

OpenAI用一组数据证明了GPT-Red的价值:

– 用GPT-Red发现的最强攻击去测试2025年8月发布的GPT-5:**超过90%的攻击成功**
– 同样的攻击去测试最新发布的GPT-5.6:**成功率降至不到23%**

此外,OpenAI还让GPT-Red重做了2025年人类红队测试团队的任务。结果显示,**GPT-Red比人类团队发现了更多有效的攻击方式**。

OpenAI还表示,GPT-Red曾成功入侵Andon Labs开发的Vendy自动售货机智能体,使其更改商品价格并取消客户订单。

## 局限与未来

尽管GPT-Red表现 impressive,但它并非完美。OpenAI坦承,它在以下方面仍有不足:

– 不擅长需要多轮对话交互的复杂攻击
– 对利用图像进行提示词注入的攻击识别能力有限
– 某些类型的攻击仍然需要人类专家率先发现后,再由GPT-Red去寻找变种

乔治城大学安全与新兴技术中心(CSET)的研究分析师Jessica Ji认为,关键是要区分”哪里最需要人类测试”——人类与AI的协作才是最优解。

## 不会对外发布

OpenAI明确表示不会发布GPT-Red。研究人员称,他们投入了一年多时间和大量计算资源来训练这个模型。”这不是别人随便就能复制的——不是说看个想法就能训练出一个超级攻击者。”

GPT-Red的出现标志着一个新趋势:在AI安全领域,AI本身正在成为最强大的防御工具,同时也可能成为最可怕的攻击工具。如何在这种攻防博弈中保持平衡,将是整个AI行业面临的长期挑战。