
一句话看懂:OpenAI 内部训练了一个名为 GPT-Red 的 AI 模型,专门用于自动攻击自家 GPT 系列模型以发现安全漏洞,当前测试成功率高达 84%,远超人类红队 (Red Team) 的 13%。这一成果已直接用于训练 GPT-5.6 Sol,使模型在面对直接提示注入攻击时的失败率降低了六倍。
事件核心:发生了什么
据 The Decoder 报道,OpenAI 在 2026 年 7 月证实,其内部开发了一个名为 GPT-Red 的 AI 模型。该模型通过自我博弈强化学习进行训练:GPT-Red 负责发起攻击(如模拟恶意指令隐藏在邮件、网页或文件中的提示注入),而防御方模型负责拦截,双方在对抗中共同进化。在测试中,GPT-Red 在 84% 的场景中成功实施了攻击,而人类专家的成功率仅为 13%。更具体的一个案例是,GPT-Red 成功操纵了 OpenAI 办公室内的一台 AI 自动售货机,修改了价格并取消了其他顾客的订单。OpenAI 表示,这一攻击结果直接反馈到了模型训练环节,目前最新的 GPT-5.6 Sol 在直接提示注入攻击中的失败次数比四个月前最好的模型减少了六倍,且没有削弱通用性能。不过,OpenAI 也承认,仍有大约 3.8% 的“更强”提示注入攻击能够成功,考虑到攻击的次数规模,实际通过的攻击数量可能相当可观,其安全水平与 Anthropic 的 Claude Opus 4.5 相近。GPT-Red 目前仅限内部使用,相关论文后续会公布。
为什么重要
这次内部测试的突破性意义在于,AI 模型的安全检测正在从依赖“人类灵感”转向“AI 系统化对抗”。人类红队测试高度依赖个人经验,且耗时长、覆盖窄;而 GPT-Red 利用强化学习实现了自动化的、持续改进的攻击能力,能在更多场景下发现漏洞。这种“用 AI 攻击 AI”的方法论一旦成熟,将深刻改变大模型安全对齐的范式——安全不再是被动修补,而是转化为一个持续对抗、共同进化的训练过程。对于行业而言,OpenAI 作为头部闭源企业率先采用 AI 红队,可能会倒逼其他闭源与开源模型提供商跟进,提升整个行业对 prompt injection 等安全威胁的重视程度。目前来看,攻击成功率从 84% 到防御失败率降至约 3.8%,虽然远未达到“零漏洞”,但已经显示出系统化方法在规模化防御上的潜力。
对用户/开发者/创作者的影响
对于普通用户,GPT-5.6 Sol 在实际使用中遭遇恶意提示注入(例如诱导模型输出危险内容或泄露隐私)的可能性显著降低,产品可靠性有实质提升。对于开发者与 API 使用者,尤其是在构建涉及外部数据源(如读取邮件、访问网页、解析文件)的 AI 应用时,OpenAI 的这一成果意味着底层模型对注入攻击的鲁棒性更强,降低了在应用层额外做大量防御设计的需求和成本。但对于仍在使用旧版本模型的开发者,风险依然存在,需注意升级。对创作者而言,直接用户交互环节的安全性增强,有助于避免一些因恶意指令导致的内容安全问题(如生成有害文本)。不过,OpenAI 明确表示 GPT-Red 仍是内部工具,短期内不会开放给第三方使用,这意味着其他企业或个人无法直接复用这套自动化攻击测试能力。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,OpenAI 计划发布的详细论文将披露 GPT-Red 的具体架构和训练方法,届时业内能否低成本复现类似系统是关键点。第二,目前约 3.8% 的“更强攻击”仍能成功,后续版本能否通过增加对抗训练轮次或引入多模态攻击方式,将失败率降至 1% 以内甚至趋零,将直接决定 AI 安全天花板。第三,未来如果 OpenAI 将此能力包装为安全测试服务或平台 API,可能会催生一个新的 AI 安全工具市场,并对现有第三方红队评测公司的业务构成冲击。
![投机性增长与AI“泡沫”[pdf]](https://www.chat-gpts.plus/wp-content/uploads/2026/07/ai_cover_5-510-768x403.jpg)

![必须积极资助开源AI [pdf]](https://www.chat-gpts.plus/wp-content/uploads/2026/07/ai_cover_3-515-768x403.jpg)