标签

OpenAI 训练 AI 黑客攻破自家售货机:GPT-Red 揭秘安全新范式

发布时间:2026-07-17 05:20阅读:2

OpenAI 内部部署了一台智能售货机。它不仅能自主定价、补货,还能与你互动并推荐零食。

随后,OpenAI 推出了 GPT-Red,这是一个专门针对自家 AI 系统进行攻击测试的“超级黑客模型”。

结果如何?三项恶意目标悉数得手:将价值超百美元的商品价格篡改为 0.50 美元;下单采购新商品并以 0.50 美元低价抛售;甚至顺带取消了其他用户的订单。

上述所有案例,均源自 OpenAI 于 7 月 15 日公开的内部安全测试记录。

▲ OpenAI 官方公告宣布 GPT-Red 上线

GPT-Red 究竟旨在解决何种难题?

答案蕴含在一个正在发生的趋势中:大模型已进化为“行动工具”。它们开始能够浏览网页、读取邮件、操作本地文件、调用外部 API,甚至协助你修改价格和下单。这意味着,任何第三方内容,无论是精心设计的邮件、嵌入隐藏指令的网页,还是一段代码注释,都可能成为攻击的突破口。

OpenAI 在科普文中举例说明:当你指令 AI 协助寻找公寓时,若某房源页面嵌入了隐蔽指令,AI 可能会疯狂推荐那套完全不合适的房源。更极端的场景是,当智能体处理隔夜邮件时,一封恶意邮件可能诱骗其提取银行对账单并发送至攻击者服务器。

此类攻击在学术上被称为提示注入(prompt injection)。OWASP 已将其列为大语言模型应用风险的首要条目。智能体权限越高、任务链越长,一旦注入成功,其破坏范围将令人咋舌。

那么,依靠人工红队测试能否有效防御?

OpenAI 的回答十分果断:无法做到。人工红队设计成本高昂、执行周期漫长,根本无法提供训练所需的庞大攻击数据量。常用的安全基准测试?最新模型得分早已超过 97%,区分度几乎为零。

因此,他们构建了 GPT-Red。

GPT-Red 的核心训练方法称为对抗性自博弈强化学习(adversarial self-play RL)。

▲ OpenAI 官方博客页面,详解 GPT-Red 的自博弈训练机制

听起来复杂,逻辑却直观:让一个 AI 专门攻击另一个 AI,双方同步训练。攻击方(GPT-Red)成功注入一次即获奖励;防御方成功抵御攻击并完成任务也获奖励。防御能力提升,攻击方就被迫发明更刁钻的手段;攻击升级,防御方又需学习新的识别能力。如此循环,双方共同进步。

为使训练贴近现实,OpenAI 构建了大量仿真场景:GPT-Red 可控制邮件正文、网页横幅广告、代码仓库注释或工具返回结果。其工作流程与人类黑客一致:设定目标,发送精心构造的提示,观察目标模型反应,进而迭代优化攻击策略。

训练结束时,OpenAI 表示 GPT-Red“几乎能攻破”所有面对的模型,涵盖内部版本、生产版本直至 GPT-5.5。

随后,他们将 GPT-Red 生成的海量攻击数据喂给 GPT-5.6 进行对抗训练。

数据说明一切。

▲ 84% 对 13%,GPT-Red 在间接提示注入场景中远超人类红队

在一组基于 Dziemian 等人(2025)设计的间接提示注入测试中,面对 GPT-5.1 且场景分布不同于训练数据的条件下:GPT-Red 在 84% 的场景成功注入,而人类红队仅为 13%。

更关键的是防御端的提升,GPT-5.6 Sol 在最难的直接提示注入基准上,失败次数仅为四个月前最佳模型的六分之一。面对 GPT-Red 发起的直接注入攻击,GPT-5.6 Sol 的失败率低至 0.05%。

此外,OpenAI 强调,这些安全增益并未以牺牲模型能力为代价。模型学会了更精准地识别恶意指令,能力与安全并未此消彼长。

GPT-Red 发现的攻击中,最令人不安的莫过于 Fake Chain-of-Thought(伪造思维链)。

推理模型(如 o 系列)运行时会展示“思考过程”。GPT-Red 找到一种方法:在注入提示中直接伪造一段看似已验证的推理步骤。模型读取后会“认为”自己已核实完毕,从而直接采信错误结论并执行。

GPT-Red 联合创建者 Chris Choquette-Choo 向 MIT Technology Review 解释了该攻击的直觉:

“It's as if I told you that 1+1=3, and that you've already verified it. The model will say, oh sure, of course, and just output 3.”

“就像我告诉你 1+1=3,而且你已经验证过了。模型就会说,哦好吧,当然,然后直接输出 3。”

该攻击对 GPT-5.1 的成功率曾一度超过 95%。经过 GPT-Red 数据的对抗训练后,在 GPT-5.6 Sol 上已降至 10% 以下。

▲ 社区讨论指出:Fake CoT 将欺骗嵌入推理层,仅检查最终输出的评测架构根本不够用

有评论者一针见血地指出:Fake CoT 的出现意味着,传统的“看输出判安全”思路需大幅升级,当攻击者能伪造模型的思考过程,必须连推理过程一同审查。

GPT-Red 的攻击能力显然极具危险性。OpenAI 做出了关键决策:GPT-Red 与对外发布的模型完全隔离。

公开的仅有防御成果和方法框架,攻击模型本身不上 API、不开源、不产品化。联合创建者 Choquette-Choo 表示,训练这种“超级攻击者”需要长期研发和大规模算力,“无人能随意复制”。

当然,GPT-Red 也有明显短板。官方承认其在多轮对话攻击上表现较弱,人类攻击者在此类场景中更自然、灵活。基于图像的提示注入(将恶意指令藏于图片中)也是当前的能力盲区。因此,GPT-Red 从一开始就被定位为组合拳的一环,需与人工测试、第三方审计、分层防护协同运作。

▲ 有评论者强调:AI 测 AI 很强,但不能成为自身安全的唯一裁判,必须配合外部可观测性与独立轨迹审计

Georgetown 大学 CSET 的 Jessica Ji 评价称,自博弈的初步结果“看起来很有希望”,但人类专长依然至关重要,关键在于厘清哪些领域最需要人工介入。

OpenAI 为 GPT-Red 描绘了一个更宏大的愿景:安全飞轮。

逻辑在于,AI 智能体已在助力提升下一代模型能力,安全领域也应出现同样的正反馈循环。今日的 GPT-Red 负责发现漏洞、生成攻击数据、加固当前模型;明日更强的模型将训练出更强的 GPT-Red,去攻击更新的模型。每一轮迭代,攻防双方同步升级,模型整体变得更加抗打。

MIT Technology Review 的报道证实,OpenAI 在 GPT-Red 上投入了与大型后训练任务相当的计算规模,研发周期超一年。前驱版本自 GPT-5.3 起便参与生产模型的安全训练。跨代回放测试显示,GPT-Red 最强攻击在早期 GPT-5 上的成功率超 90%,而在 GPT-5.6 上低于 23%。

飞轮确实在转动。但一个无法回避的问题是:攻击者也在进化。多轮对话、多模态注入、日益复杂的智能体工作流,正是 GPT-Red 目前难以攻克的领域,而这恰恰是真实攻击者最可能钻营的方向。内部评测数据再漂亮,外部独立验证的缺口依然存在。

预印本预计本周晚些时候发布。届时,飞轮能否经受住同行审视,才是真正的考验。