OpenAI 推出 GPT-Red:用 self-play 自动红队,把 GPT-5.6 Sol 的 prompt injection 失败率砍到 1/6
笔名:小六 / 上海 / 1995 女 / 某互联网公司工程师
一句话结论
OpenAI 在 7 月 15 日正式公开 GPT-Red ——一个用 self-play 强化学习 训练出来的自动红队(red team)模型,专门用于在训练阶段规模化地发现自家模型的 prompt injection 漏洞。它最重要的实战成绩是:直接把 GPT-5.6 Sol 的 direct prompt injection benchmark 失败率砍到了 GPT-5.5 的 1/6,并在新场景评测里以 84% vs 13% 大幅超过人类红队专家。
官方来源:https://openai.com/index/unlocking-self-improvement-gpt-red
工程师最值得记住的三件事是:
- self-play 是这次突破的核心:用一个”原本没被训练成黑客”的 LLM,跟一组目标模型和判别模型放进 self-play loop,让它通过对抗博弈学会攻击;
- 红队不是独立工具,而是嵌进训练 pipeline 的:GPT-Red 直接对接 GPT-5.6 Sol 的训练过程,是 RLHF 的”攻击侧版本”;
- 红队模型的能力可以被测出来:84% vs 13% 的人机差距说明,自动红队不是营销概念,是真的能稳定产出可测量的攻击样本。
问题现象:为什么 prompt injection 评测里,GPT-5.5 翻车得这么频繁
做 LLM 应用的同行大概都经历过类似的崩溃现场:
1 | |
这就是经典的 direct prompt injection(直接提示词注入)。攻击者用自然语言绕过 system prompt 的约束,让模型”听话但听错人的话”。
过去几年大家的标准做法是:
1 | |
问题是:防守方永远在追,攻击方永远在试。 当你的模型被部署到真实流量里,对手只需要试出一句能绕过的 prompt,你就破了。
OpenAI 的解法是:别等对手来试,自己先大规模地试。 而 GPT-Red 就是 OpenAI 的”自己人攻击自己人”系统。
排查过程一:self-play 到底是怎么”自己跟自己玩”的
GPT-Red 的核心机制是 self-play 强化学习。
说人话就是:把一个 LLM 放进去当”攻击者”,再放一组目标模型(包括它自己)当”被攻击者”,再放一个判别模型来打分。三个角色互相博弈,攻击者通过对手的反馈学会更高效的攻击方式。
具体流程大致是:
1 | |
经过成千上万轮对抗,攻击者 LLM 就会掌握一套”怎么写 prompt 才能让目标模型听话”的策略。
最关键的一点:**OpenAI 拿来做 self-play 的那个攻击者 LLM,原本并不是一个”黑客模型”**。它是普通 LLM,通过 self-play 才”被训成”黑客。
这跟传统红队的差别是:
1 | |
MIT Technology Review 在 7 月 15 日的报道里特别强调:GPT-Red 是在 self-play loop 里”被训练成黑客”的,而不是预先被标注成黑客。这是这次突破的工程核心。
排查过程二:GPT-Red 嵌进训练 pipeline,让 GPT-5.6 Sol 真的”被打了疫苗”
光有攻击者还不够。GPT-Red 真正厉害的地方,是它直接接入了 GPT-5.6 Sol 的训练流程。
具体路径是:
1 | |
这套机制等价于:在训练阶段就见过对手所有花式打法,模型学到的不是”对某一种 prompt 不响应”,而是”对一类 prompt 套路不响应”。
实测结果就是 OpenAI 公开的对比:
| 模型版本 | 直接 prompt injection 失败率 |
|---|---|
| GPT-5.5(四个月前的前代旗舰) | 基线 |
| GPT-5.6 Sol | 比 GPT-5.5 减少 6 倍失败 |
6 倍这个数字不是营销口径,是 OpenAI 自己公开的 benchmark。这意味着在直接注入场景里,GPT-5.6 Sol 犯错的概率只是前代的约 16.7%。
对于做应用层防御的工程师来说,这意味着:当 LLM 升级到 GPT-5.6 Sol,你的 system prompt 可以稍微写得短一点了——因为模型本身已经”自带疫苗”,对一类绕过套路有内置抗性。
排查过程三:人机差距 84% vs 13%,自动化红队真的能替代部分人工
OpenAI 在 7 月 16 日公开的评测里给出了一组关键数据:
1 | |
84% vs 13%,差超过 6 倍。
这套评测不是说 GPT-Red 比人类聪明,而是说:在”穷举已知攻击套路”和”在新场景下快速试错”这两件事上,自动化模型已经能稳定产出可测量的攻击样本,而且比人工快得多。
这件事对工程团队的意义是:
1 | |
**安全团队的定位从”打头阵”变成了”做决策”**,这是过去两年 LLM 安全领域最重要的岗位转型之一。
排查过程四:自改进循环的边界——GPT-Red 不是万能药
self-play 不是银弹,GPT-Red 也有清晰的边界。
第一,判别模型决定了 self-play 的天花板。如果”攻击成功与否”的判定标准本身写得不准,GPT-Red 会学到一些”看起来成功但其实没意义”的攻击套路。OpenAI 自己也承认,GPT-Red 的有效性高度依赖判别模型对”成功”的定义质量。
第二,**self-play 容易陷入”已知的漏洞池”**。如果攻击者 LLM 在训练中只见过一类 prompt 模式,它的攻击套路会逐渐收敛到那类模式上,反而失去对新攻击类型的探索能力。这就是经典 self-play 的 mode collapse 问题。
第三,direct prompt injection ≠ indirect prompt injection。GPT-Red 在直接注入上拿到了 6x 减少,但在间接注入(比如从外部文档/网页抓取的内容里藏指令)上的效果没有公开数据。工程师在做应用时仍要自己做间接注入的二次防护。
第四,红队模型本身也会被滥用。GPT-Red 的能力一旦被恶意对手获得,反过来就成了攻击加速器。OpenAI 选择不开放权重,只通过内部 pipeline 接入,正是为了控制这种”武器化外溢”。
一键体验:给自己的应用搭一个轻量级”红队轮询”
GPT-Red 本身不开放,但它的设计哲学可以借鉴。下面是一段示意 Python 代码,演示怎么把”self-play 攻击者 → 目标 LLM → 判别器”的思路,应用到你自己应用的 prompt injection 评测里:
1 | |
跑完之后你会拿到一份”成功攻破 system prompt”的样本清单。这份清单就是你下一轮加固 system prompt、加固输出过滤器的真实输入。GPT-Red 本质就是把这件事做到 6 倍效率。
Q&A
Q1:GPT-Red 跟传统 red team 工具(比如 garak、PyRIT)有什么差别?
A:传统工具靠规则枚举和人工 prompt 模板,GPT-Red 靠 self-play 强化学习自动发现新型攻击套路。前者覆盖面广但容易被天花板卡住,后者能持续探索未知空间但需要更多算力。生产环境建议两者搭配:传统工具做基线,self-play 做”未知风险探索”。
Q2:6 倍失败率减少意味着 system prompt 可以不写了吗?
A:不能。GPT-Red 解决的是模型侧的鲁棒性,但 system prompt 仍然承担”业务约束 + 合规约束”的角色,比如”必须用中文回复”、”必须引用知识库 ID”、”不能输出 PII”。这些约束 LLM 自身再鲁棒也替代不了。GPT-Red 让你的 system prompt 可以更聚焦业务而不是防御。
Q3:判别器怎么写得靠谱?
A:判别器的关键不是”判断攻击是否成功”,而是”判断响应是否违反 system prompt 约束”。把约束写成一组可机读的规则(如”是否包含 PII”、”是否引用了未授权数据源”),比”AI 判定 AI”更稳定。建议判别器用规则 + LLM 双层,先规则过一遍,命中不了的复杂案例再交给 LLM。
Q4:self-play 在哪些场景下会失效?
A:两类场景最容易失效:(1) 判别器定义不清晰,攻击者学到”看起来成功”的伪套路;(2) 攻击模式空间过大,self-play 收敛不到有意义的子集。这两类问题的共同信号是——红队模型在训练集上成功率上升,但在评测集上不涨。这通常意味着需要重新设计判别器或奖励函数。
Q5:GPT-Red 未来会开放吗?
A:OpenAI 目前的策略是只通过自家训练 pipeline 使用 GPT-Red,不开放权重或 API。理由是防止攻击能力外溢。这跟 Anthropic / DeepMind 的”responsible deployment”思路一致。如果你的团队需要类似能力,建议基于开源框架(如 garak、PyRIT)搭一个内部 red team pipeline,不要等 GPT-Red 公开。
Q6:GPT-Red 的能力会被对手反向利用吗?
A:理论上会。论文和报道里已经讨论了这种”dual-use”风险:一旦攻击模式被公开,对手就能复制。OpenAI 选择只披露方法论、不公开权重,就是在控制这种外溢。工程上的对策是:应用层防御永远不能只依赖模型鲁棒性,必须叠加输入过滤、输出审计、行为监控三层。
总结
GPT-Red 的真正价值不是”打败人类红队”,而是把红队从一次性事件变成持续 pipeline。
过去我们理解的安全工作流是:
1 | |
GPT-Red 把这套流程变成:
1 | |
这是一个闭环,而不是一次审计。
对打工人来说,这意味着:
- 写 system prompt 的工程师:可以更聚焦业务约束,把防御职责部分交给模型;
- 安全团队:从”打头阵”变成”做决策”,角色定位发生变化;
- 做评测的工程师:可以把 GPT-Red 的方法论借鉴到自己应用,做”业务定制版 red team loop”;
- 写应用层的工程师:要清楚 GPT-Red 解决的是模型侧鲁棒性,应用层 PII / 合规 / 行为监控依然必须自己做。
GPT-Red 不是银弹,但它把”AI 安全”这件事从”靠人堆”推进到了”靠 self-play 持续迭代”。下一次写 LLM 应用的 PRD 时,记得把”red team loop”列为非功能性需求之一。
参考资料:
- OpenAI《GPT-Red: Unlocking Self-Improvement for Robustness》(2026-07-15) — https://openai.com/index/unlocking-self-improvement-gpt-red
- MIT Technology Review《Meet GPT-Red: an LLM super-hacker OpenAI built to make its models safer》(2026-07-15) — https://www.technologyreview.com/2026/07/15/1140514/meet-gpt-red-an-llm-super-hacker-openai-built-to-make-its-models-safer/
- The Hacker News《OpenAI’s GPT-Red Automates Prompt Injection Testing to Harden GPT-5.6 Sol》(2026-07-16) — https://thehackernews.com/2026/07/openais-gpt-red-automates-prompt.html