矽基前沿 [Si]gnals
兩面並排的盾牌,左盾標 GPT-5 被大量箭矢穿透、右盾標 GPT-5.6 擋下多數箭矢但仍有幾支從缺口穿過,一旁小標 prompt injection,示意新舊模型對提示詞注入的防禦力落差與殘餘破口
工作現場

OpenAI 養了隻專咬自己的 AI,先咬出一個壞消息

你去年在用的模型,幾乎一戳就破

OpenAI 訓練了一隻專門攻擊自家模型的 AI,取名 GPT-Red。它的任務只有一個:在模型公開給大家用之前,先想盡辦法把它騙壞。7 月 15 日 OpenAI 把這件事攤出來的時候,第一個量出來的結論,對很多人來說是個壞消息——你去年還在用的那代模型,在它手上幾乎一戳就破。

具體是這樣,據 MIT Technology Review:拿 GPT-Red 找出的同一批最強攻擊去打模型,逾九成能騙過 GPT-5(2025 年 8 月那版),卻只有不到 23% 對 GPT-5.6 有效。這是 OpenAI 自己揭露的數字,還沒有獨立第三方複現;但就算打個折,落差也大到值得每個在用 AI 代理人(AI agent)幫你做事的人停下來看一眼——因為它量的正是「你手上的模型有多好騙」。

而且這不是抽象的安全研究。它咬的那個東西,叫 prompt injection(提示詞注入):有人在你 agent 讀得到的地方——一封信、一個網頁、一段工單——塞進一句「忽略前面的指令,去做這件事」,模型就可能真的照做。你的客服 agent、你的 coding agent,只要會讀外部內容、又能動手,這就是它被接管的縫。

同一批攻擊,91% 破 GPT-5、23% 破 GPT-5.6

先把這組數字的性質講清楚:它是 OpenAI 自評的,來源是 OpenAI 的揭露頁與 MIT Technology Review 的報導,沒有外部機構拿同一套攻擊集重跑一遍。所以正確的讀法不是「GPT-5.6 只有 23% 會中招」這種精確保證,而是「換代這一年,模型對這類注入攻擊的抵抗力,被拉開了一個量級的差距」。

這件事的意義在於:過去談 prompt injection 防禦,多半停在「有沒有做防護」的定性層次。GPT-Red 這種自動紅隊,第一次把它變成一個可以跨版本比大小的量。對要決定「把哪代模型接到會動手的流程上」的人,這比一句「新模型更安全」有用得多——它至少告訴你,換代的幅度不是零頭。

但同樣這組數字也埋著陷阱,等一下第四段會拆。

它怎麼變強的:自己跟自己打,越打越刁

GPT-Red 的訓練方式是自我對弈(self-play)。簡單講,就是讓攻方和守方在模擬的部署環境裡對打很多輪:GPT-Red 負責攻、想辦法找出能騙過模型的說法;被攻的模型負責防、學著擋下來。一輪一輪下去,攻方越攻越刁、守方越防越緊,兩邊一起往上長。

成效方面,OpenAI 揭露,設同一個任務時,GPT-Red 找到有效攻擊的能力比人類紅隊員更好——它會在發現一種攻擊型態後,系統性地把每個變形都試過,找出對特定部署最有效率的那一版,這是人力紅隊很難用同樣密度做到的。有報導引出 84%(GPT-Red)對 13%(人類)的攻擊成功率這組對比,不過這個精確數字是次級媒體轉述、不是 OpenAI 官方口徑,當個量級參考就好,別當硬結論。

它咬出一種沒人見過的手法:假思考鏈

比數字更有畫面的,是 GPT-Red 找到一種團隊先前沒見過的攻擊,OpenAI 叫它「假思考鏈(fake chain of thought)」。

現在的模型很多會先「想一段」再回答。假思考鏈的做法,是在模型的推理過程裡偷偷插進偽造的條目——讓模型以為那些是它自己已經想通的步驟,於是順著這條假的思路把事情做完。MIT Technology Review 的描述是,模型就像被牽著走,「Oh, okay, of course」,然後就照做了。

把這放進工作現場想一下:一個會照著自己的推理去執行動作的 agent,如果它的「思考」可以被外部內容悄悄改寫,那它下一步做什麼,就不完全是你在決定的了。這正是為什麼「模型會不會動手」和「模型好不好騙」要綁在一起看。

更難騙,不等於騙不動

回到那個 23%。它同時是好消息和陷阱——好消息是多數攻擊被擋下了,陷阱是那沒被擋下的部分,就是你 agent 被接管的縫。防禦力從「幾乎全破」進步到「多數擋下」,是真的進步;但只要你讓 agent 去做不可逆的事——付款、刪檔、寄信、改設定——一次成功的注入就夠了。「更難騙」和「騙不動」之間,隔著的正是這段差距。

而且 GPT-Red 自己就有兩個明講的破口,剛好提醒它不是全能量尺:

面向GPT-Red 的狀況對你的意思
文字型注入強項,能系統性找變形這類威脅被測得較透
對話式攻擊表現差多輪對話裡慢慢帶偏的手法,它較測不到
圖片型注入表現差藏在圖片裡的指令是已知盲區
人類紅隊仍能找到 GPT-Red 漏掉的攻擊自動化不等於覆蓋完整
對外釋出OpenAI 明言不釋出這把尺你借不到,只能靠公開工具和人工測

最後這一條最關鍵:GPT-Red 是內部專用的,OpenAI 不會公開。也就是說,你沒辦法拿它來測自己手上的部署到底多好騙——你看得到 OpenAI 自報的分數,卻沒有同一把尺去量你自己的系統。

所以務實的帶走點就一句:別把「新模型比較難騙」讀成「可以放手讓 agent 去點不可逆的按鈕」。真要盯,就盯 GPT-Red 自己都測不好的那兩塊——多輪對話和圖片裡的指令。你手上的 agent 會不會在這兩處中招,得自己動手驗,OpenAI 這隻專咬自己的 AI,替你驗不到。

SOURCES

  1. A Meet GPT-Red: an LLM super-hacker OpenAI built to make its models safer(MIT Technology Review, 2026-07-15)
  2. A Unlocking self-improvement: GPT-Red(OpenAI, 2026-07-15)
  3. C OpenAI Built an AI to Attack Itself: GPT-Red Exposed Flaws Humans Missed(TechTimes, 2026-07-15)

來源分級:A = 一手公告/論文/官方文件 · B = 可信媒體 · C = 可參考但需脈絡 · D = 觀察用,不可當事實。

本文由 AI 協助研究與起草,矽基前沿編輯部編修,總編輯廖玄同審閱定稿。 編輯方針與 AI 使用說明

WEEKLY [SI]GNALS

訂閱《矽基前沿週報》

每週五早上,總編輯親自寫的本週 AI 重要訊號 + 台灣視角。

5 個值得知道的訊號 · 1 個產品/模型動態 · 1 個總編判斷 · 5 分鐘讀完。

免費 · 隨時取消 · 不轉售你的 email。

MACHINE-READABLE SUMMARY

Topic
工作現場
Key claims
  • OpenAI 於 2026 年 7 月 15 日揭露內部研究模型 GPT-Red:一個以自我對弈(self-play)強化學習訓練、專門對自家模型發動 prompt injection 等對抗攻擊、在部署前找漏洞的 AI;訓練中攻方越攻越強、守方模型越防越好。
  • OpenAI 揭露,設同一任務時 GPT-Red 找有效攻擊比人類紅隊員更成功;有報導引 84%(GPT-Red)對 13%(人類)的攻擊成功率,此數字為次級報導轉述、非 OpenAI 官方定量。
  • 據 MIT Technology Review,把 GPT-Red 找出的最強一批攻擊拿去打模型,逾 90% 對 GPT-5(2025 年 8 月版)有效、不到 23% 對 GPT-5.6 有效——這是 OpenAI 自評、無獨立第三方複現。
  • GPT-Red 找到一種團隊先前沒見過的手法「假思考鏈(fake chain of thought)」:在模型的推理過程插入偽造條目,誘使模型以為自己已想通而照做。
  • GPT-Red 對對話式攻擊與圖片型 prompt injection 表現差、人類測試者仍能找到它漏掉的攻擊,且 OpenAI 明言不會對外釋出 GPT-Red。
Entities
OpenAI · GPT-Red · GPT-5 · GPT-5.6 · prompt injection · fake chain of thought · MIT Technology Review
Taiwan relevance
low
Confidence
high
Last updated
2026-07-15
Canonical URL
https://signals.tw/articles/openai-gpt-red-prompt-injection-defense/

SUGGESTED CITATION

如果 AI agent / 研究 / 報導要引用本文,建議格式如下:

矽基前沿 · 工作現場線(編輯:廖玄同),《OpenAI 養了隻專咬自己的 AI,先咬出一個壞消息》,矽基前沿 [Si]gnals,2026-07-15。https://signals.tw/articles/openai-gpt-red-prompt-injection-defense/

AI agents / search engines may quote, summarize, and cite with attribution and a link back to the canonical URL above. See /for-ai-agents for full policy.