OpenAI GPT-Redレッドチームモデル、プロンプトインジェクション成功率84%を達成――人間のレッドチームを大幅に上回り安全性論争を引き起こす

OpenAIはGPT-Redという自動化レッドチームモデルを発表した。自己対戦強化学習により訓練されており、攻撃モデルと防御モデルが同一シナリオ内で同時に学習する仕組みを採用している。攻撃側はモデルの失敗を誘発することで報酬を得て、防御側は攻撃を退けつつ元のタスクを完了することで報酬を得る。GPT-Redはプロンプトインジェクションテストで成功率84%を記録し、人間のレッドチームの13%を大幅に上回った。これらの攻撃はGPT-5.6 Solの改善に活用され、直接プロンプトインジェクションのベンチマークにおける失敗回数を4か月前の最良モデルと比較して6分の1に削減した。

メカニズムの解説

GPT-Redの攻撃モデルはプロンプトを送信し、ターゲットの応答を観察してイテレーティブに最適化を行う。攻撃目標にはデータ漏洩などが含まれる。防御モデルは同時に進化し、攻撃への抵抗とタスク完了の維持を両立させる。両者は大量のシナリオで互いを高め合い、攻撃側はより強力な変種を発見し、防御能力も同期して向上する。OpenAIはGPT-Redが生成した攻撃を本番モデルの訓練にフィードバックしており、GPT-5.3以降のすべてのリリースにこの手法が採用されている。初期バージョンで発見された「Fake Chain-of-Thought」手法はかつてGPT-5.1を95%超の成功率で欺いたが、GPT-5.6 Solでは10分の1以下にまで低下した。

産業への影響

GPT-Redは、AIレッドチーム能力が大規模な計算によって自動化できることを示しており、他のモデルプロバイダーが同様の社内レッドチームツールの開発を加速させる契機となる可能性がある。GPT-Redは内部専用であり、一般には公開されていない。GPT-5.6 Solを採用することで、最先端の能力と低い過剰拒否率を維持しながら、より強力な直接プロンプトインジェクション防御を実現できる。

対比と先例

GPT-Redは内部使用に限定されており、攻撃技術が実際の脅威者の手に渡ることを防いでいる点で、従来の人間によるレッドチームテストとは一線を画している。

戦略的評価

より多くのAI研究機関が同様の自己対戦型レッドチームシステムの構築を試みることで、モデルの堅牢性向上を図るようになると考えられる。

開発者向けの選定アドバイス:高リスクなプロンプトインタラクションを伴うアプリケーションでは、直接プロンプトインジェクションベンチマークにおけるGPT-5.6 Solの失敗率0.05%を優先的に検証するとともに、社内シミュレーション環境でGPT-Red型の攻撃を再現して防御を確認することを推奨する。企業ユーザーはモデルプロバイダーに対し、レッドチーム訓練がカバーするシナリオ数の開示を求め、単一の防御メカニズムへの依存を避けるべきである。