OpenAI、GPT-Redが84%の成功率でGPT-5.6に対する攻撃テストを実施——人工レッドチームはわずか13%

OpenAI、GPT-Redが84%の成功率でGPT-5.6に対する攻撃テストを実施——人工レッドチームはわずか13%

OpenAIは2026年7月16日、内部でトレーニングされたGPT-Redモデルが間接プロンプトインジェクションのシナリオにおいて84%の攻撃成功率を達成したと明らかにした。一方、同じテストにおける人工レッドチームの成功率はわずか13%にとどまった。この結果はGPT-5.6のトレーニングに直接活用され、直接プロンプトインジェクションのベンチマークにおける失敗回数は4か月前の最良モデルと比較して6分の1に減少し、GPT-Redによる直接インジェクションへの失敗率はわずか0.05%となった。

トレーニングメカニズムと攻撃の発見

GPT-Redは対抗的自己対戦強化学習によって機能する。攻撃モデルがプロンプトインジェクションの試みを継続的に生成し、防御モデルが通常のタスク性能を維持しながらそれへの耐性を同時に学習する仕組みだ。OpenAIはこのためにGPU時間70万時間超を投入した。トレーニング環境は、ウェブブラウジング、メール処理、カレンダー管理、コード編集などの実際のシナリオを模擬している。GPT-Redはこれまで知られていなかった「偽思考チェーン」攻撃を発見した。これはターゲットモデルの内部推論ログに虚偽情報を挿入し、モデルに検証済みの結果を誤認させて悪意ある操作を実行させるものである。

テストの結果、GPT-Redの2025年リリースのGPT-5に対する攻撃成功率は90%を超えたが、GPT-5.6に対しては23%未満に低下した。また、Andon LabsのVendyエージェントに対して商品価格の変更やユーザー注文のキャンセルを誘導することにも成功した。ただし、GPT-Redは複数ターンのインタラクションを要する複雑な攻撃や画像インジェクションのシナリオでは限定的なパフォーマンスにとどまった。

業界各方面への影響

開発者にとっては、GPT-Redが提供する自動化されたバリアント生成によってテストカバレッジを拡大できるが、人間が新たな攻撃アイデアを設計することの代替にはならない。企業ユーザーはGPT-5.6を通じてより強固なプロンプトインジェクション防御を得られる。ただし、OpenAIはGPT-Redを内部使用のみとし、重みやコードを公開しないと明言しており、他機関による再現は困難だ。

競争環境の観点では、この取り組みはセキュリティテストを静的なルールベースから動的な対抗型へと転換させるものであり、他のモデルプロバイダーは同規模の算力を投じた自動化レッドチームシステムの導入を検討する必要に迫られる。サプライチェーンにおいては、GPUリソースの配分がセキュリティトレーニングへとさらに傾いていくだろう。

戦略的展望

現在のトレーニング規模と結果に基づけば、最も可能性の高い展開は、OpenAIがより多くの攻撃タイプをカバーするために自己対戦ループを継続的に拡大していくことである。検証シグナルは、後続のモデルバージョンがGPT-Redテストにおける失敗率をさらに低下させ続けるかどうかにある。