OpenAI 養了隻專咬自己的 AI,先咬出一個壞消息
你去年在用的模型,幾乎一戳就破
OpenAI 訓練了一隻專門攻擊自家模型的 AI,取名 GPT-Red。它的任務只有一個:在模型公開給大家用之前,先想盡辦法把它騙壞。7 月 15 日 OpenAI 把這件事攤出來的時候,第一個量出來的結論,對很多人來說是個壞消息——你去年還在用的那代模型,在它手上幾乎一戳就破。
具體是這樣,據 MIT Technology Review:拿 GPT-Red 找出的同一批最強攻擊去打模型,逾九成能騙過 GPT-5(2025 年 8 月那版),卻只有不到 23% 對 GPT-5.6 有效。這是 OpenAI 自己揭露的數字,還沒有獨立第三方複現;但就算打個折,落差也大到值得每個在用 AI 代理人(AI agent)幫你做事的人停下來看一眼——因為它量的正是「你手上的模型有多好騙」。
而且這不是抽象的安全研究。它咬的那個東西,叫 prompt injection(提示詞注入):有人在你 agent 讀得到的地方——一封信、一個網頁、一段工單——塞進一句「忽略前面的指令,去做這件事」,模型就可能真的照做。你的客服 agent、你的 coding agent,只要會讀外部內容、又能動手,這就是它被接管的縫。
同一批攻擊,91% 破 GPT-5、23% 破 GPT-5.6
先把這組數字的性質講清楚:它是 OpenAI 自評的,來源是 OpenAI 的揭露頁與 MIT Technology Review 的報導,沒有外部機構拿同一套攻擊集重跑一遍。所以正確的讀法不是「GPT-5.6 只有 23% 會中招」這種精確保證,而是「換代這一年,模型對這類注入攻擊的抵抗力,被拉開了一個量級的差距」。
這件事的意義在於:過去談 prompt injection 防禦,多半停在「有沒有做防護」的定性層次。GPT-Red 這種自動紅隊,第一次把它變成一個可以跨版本比大小的量。對要決定「把哪代模型接到會動手的流程上」的人,這比一句「新模型更安全」有用得多——它至少告訴你,換代的幅度不是零頭。
但同樣這組數字也埋著陷阱,等一下第四段會拆。
它怎麼變強的:自己跟自己打,越打越刁
GPT-Red 的訓練方式是自我對弈(self-play)。簡單講,就是讓攻方和守方在模擬的部署環境裡對打很多輪:GPT-Red 負責攻、想辦法找出能騙過模型的說法;被攻的模型負責防、學著擋下來。一輪一輪下去,攻方越攻越刁、守方越防越緊,兩邊一起往上長。
成效方面,OpenAI 揭露,設同一個任務時,GPT-Red 找到有效攻擊的能力比人類紅隊員更好——它會在發現一種攻擊型態後,系統性地把每個變形都試過,找出對特定部署最有效率的那一版,這是人力紅隊很難用同樣密度做到的。有報導引出 84%(GPT-Red)對 13%(人類)的攻擊成功率這組對比,不過這個精確數字是次級媒體轉述、不是 OpenAI 官方口徑,當個量級參考就好,別當硬結論。
它咬出一種沒人見過的手法:假思考鏈
比數字更有畫面的,是 GPT-Red 找到一種團隊先前沒見過的攻擊,OpenAI 叫它「假思考鏈(fake chain of thought)」。
現在的模型很多會先「想一段」再回答。假思考鏈的做法,是在模型的推理過程裡偷偷插進偽造的條目——讓模型以為那些是它自己已經想通的步驟,於是順著這條假的思路把事情做完。MIT Technology Review 的描述是,模型就像被牽著走,「Oh, okay, of course」,然後就照做了。
把這放進工作現場想一下:一個會照著自己的推理去執行動作的 agent,如果它的「思考」可以被外部內容悄悄改寫,那它下一步做什麼,就不完全是你在決定的了。這正是為什麼「模型會不會動手」和「模型好不好騙」要綁在一起看。
更難騙,不等於騙不動
回到那個 23%。它同時是好消息和陷阱——好消息是多數攻擊被擋下了,陷阱是那沒被擋下的部分,就是你 agent 被接管的縫。防禦力從「幾乎全破」進步到「多數擋下」,是真的進步;但只要你讓 agent 去做不可逆的事——付款、刪檔、寄信、改設定——一次成功的注入就夠了。「更難騙」和「騙不動」之間,隔著的正是這段差距。
而且 GPT-Red 自己就有兩個明講的破口,剛好提醒它不是全能量尺:
| 面向 | GPT-Red 的狀況 | 對你的意思 |
|---|---|---|
| 文字型注入 | 強項,能系統性找變形 | 這類威脅被測得較透 |
| 對話式攻擊 | 表現差 | 多輪對話裡慢慢帶偏的手法,它較測不到 |
| 圖片型注入 | 表現差 | 藏在圖片裡的指令是已知盲區 |
| 人類紅隊 | 仍能找到 GPT-Red 漏掉的攻擊 | 自動化不等於覆蓋完整 |
| 對外釋出 | OpenAI 明言不釋出 | 這把尺你借不到,只能靠公開工具和人工測 |
最後這一條最關鍵:GPT-Red 是內部專用的,OpenAI 不會公開。也就是說,你沒辦法拿它來測自己手上的部署到底多好騙——你看得到 OpenAI 自報的分數,卻沒有同一把尺去量你自己的系統。
所以務實的帶走點就一句:別把「新模型比較難騙」讀成「可以放手讓 agent 去點不可逆的按鈕」。真要盯,就盯 GPT-Red 自己都測不好的那兩塊——多輪對話和圖片裡的指令。你手上的 agent 會不會在這兩處中招,得自己動手驗,OpenAI 這隻專咬自己的 AI,替你驗不到。
SOURCES
- A Meet GPT-Red: an LLM super-hacker OpenAI built to make its models safer(MIT Technology Review, 2026-07-15)
- A Unlocking self-improvement: GPT-Red(OpenAI, 2026-07-15)
- C OpenAI Built an AI to Attack Itself: GPT-Red Exposed Flaws Humans Missed(TechTimes, 2026-07-15)
來源分級:A = 一手公告/論文/官方文件 · B = 可信媒體 · C = 可參考但需脈絡 · D = 觀察用,不可當事實。
本文由 AI 協助研究與起草,矽基前沿編輯部編修,總編輯廖玄同審閱定稿。 編輯方針與 AI 使用說明