OpenAI 打造了一个名为 GPT-Red 的超级黑客大模型,用它作为陪练,帮助其他模型提升抵御网络攻击的能力。上周,该公司发布了旗舰大模型 GPT-5.6 的最新版本。OpenAI 表示,通过与 GPT-Red 对抗训练,该模型成为其有史以来最稳健的版本。

GPT-Red 自动化了一种针对软件系统的安全评估方法,即红队测试,通常由人类测试团队完成。其目标是尽可能多地找到破坏或劫持系统的方法,然后在最终版本发布前修补漏洞。

随着大模型变得越来越复杂,并被用于更广泛的任务——尤其是以智能体形式出现,它们可以交互计算机文件、网站、第三方代码以及其他智能体——人类团队很难跟上所有可能发生的攻击类型。“风险面在扩大,爆炸半径也在扩大,”OpenAI 研究科学家、GPT-Red 联合创建者 Nikhil Kandpal 表示。

OpenAI 构建 GPT-Red 是为了让安全测试流程面向未来。“随着更强大的模型出现,我们将已经设计出能够发现新攻击模式的系统,”公司研究科学家、GPT-Red 另一位联合创建者 Dylan Hunn 说。研究人员表示,它已经提出了此前未见的新型攻击方式。

OpenAI 将大部分精力集中在一种称为提示注入的攻击类型上,黑客通过向大模型注入指令,使其做出开发者或用户不希望的行为,例如复制机密信息、破坏公司代码库,或生成尴尬或有害的输出。理论上,这些指令可以隐藏在大模型可能遇到的任何文本中——例如代码或网站上。

为了构建 GPT-Red,OpenAI 的研究人员选取了一个未经黑客训练的大模型,并将其置于一个所谓的“自对弈循环”中,与多个其他模型互动。它的目标是攻击其他模型,而其他模型的目标是防御。经过多轮对弈,GPT-Red 变得越来越擅长攻击其他大模型,而那些大模型也变得越来越擅长抵御攻击。

训练在一个类似道场的环境中进行,OpenAI 设计该环境以模拟大模型在现实世界中可能部署的各种场景,包括浏览网页、阅读电子邮件或日历应用,以及编辑代码。

当 GPT-Red 发现一种新攻击时,它会探索多种变体,以找到针对特定场景最有效的方式。“与人类红队成员相比,该模型非常非常擅长找出什么有效、什么最有效,”Hunn 说。“它对于深入挖掘已发现的攻击极其执着。”

具体来说,OpenAI 声称 GPT-Red 发现了一种研究人员此前未见过的提示注入攻击,他们称之为“虚假思维链”。思维链是大模型在解决问题时记录笔记和中间结果的日记。GPT-Red 找到了一种方法,将虚假条目插入另一个模型的思维链中,从而诱使该模型基于伪造信息采取行动。

“这就像我告诉你 1+1=3,并且你已经验证过了,”团队另一位研究科学家 Chris Choquette-Choo 说。“模型就会想,‘哦,好吧,当然’,然后直接输出 3。”

乔治城大学安全与新兴技术中心(CSET)的高级研究分析师 Jessica Ji 认为,OpenAI 使用的自对弈循环是一种好方法。“结果看起来非常有希望,”她说。

OpenAI 通过重演 2025 年的一项实验来测试 GPT-Red 的攻击能力,当时人类红队成员试图在早期版本的 GPT-5 中寻找弱点。当 GPT-Red 参与时……