2026/07/16 02:05

GPT-Red、AIエージェントの安全性を「攻撃するモデル」で鍛え始めた

OpenAIは2026年7月15日、内部用の自動red-teamingモデル「GPT-Red」を発表しました。狙いは、ブラウザ、接続アプリ、ローカルファイル、コードリポジトリ、ツール結果の中に紛れ込むプロンプトインジェクションを、公開前に大量に見つけて、GPT-5.6の訓練へ戻すことです。これは安全性を「人間が検査するチェックリスト」から、「AIがAIを攻撃し、その攻撃で次のモデルを鍛える」運用へ移す話です。

AIエージェントの安全評価と攻撃経路を示すInterface Wire編集用サムネイル

外部データを読むエージェントほど攻撃面が増える

OpenAIがGPT-Redで強調しているリスクは、ユーザーが直接「悪い命令」を打つ場面だけではありません。AIシステムがブラウザ、接続アプリ、ローカルファイル、メール、Webページ、コードリポジトリ、ツールの戻り値を読むと、第三者がそこへ命令を紛れ込ませられます。モデルがそれをユーザーの依頼やシステム上の指示のように扱うと、データ送信、支払い、設定変更、コード実行のような行動まで危なくなります。

AIエージェントの安全評価と攻撃経路を示すInterface Wire編集用サムネイル
画像: Interface Wire

この問題は、Interface Wireが最近追ってきたCodex MicroやLockdown Modeの話とつながっています。AIが画面上の会話だけなら、危険は主に「何を答えるか」に見えます。しかしエージェントがファイルを読み、Webを開き、コマンドを実行し、差分を承認する段階では、「何を信じて、どのツールを動かすか」が製品体験の中心になります。

GPT-Redは攻撃役として訓練され、本番モデルには出さない

GPT-Redは、通常のユーザー向けモデルではありません。OpenAIは、自己対戦型の強化学習で、攻撃役のGPT-Redと防御役のモデル群を同時に鍛えたと説明しています。GPT-Redは攻撃が成立すると報酬を得て、防御側は元の仕事を続けながら攻撃を退けることで報酬を得ます。環境側では、ローカルファイル、Webページ、メール本文、ツール出力など、攻撃者がどこに命令を置けるかを脅威モデルとして定めます。

重要なのは、OpenAIがGPT-Redを本番モデルから分けている点です。GPT-Redには攻撃能力そのものを訓練しているため、その能力をユーザー向けに出すのではなく、GPT-5.6の訓練データと評価に戻す。OpenAIは、GPT-5.6 Solが自社の最難関の直接プロンプトインジェクションベンチマークで、4か月前の最良の本番モデルより失敗を6分の1に減らしたとしています。

安全性の成果は、拒否ではなく仕事を続けながら守ることにある

安全なモデルは、単に多くを拒否するモデルではありません。OpenAIも、能力を落とせば攻撃されにくく見えるが、それは有用なrobustnessではないと書いています。GPT-Redの成果として見たいのは、ユーザーの本来の依頼を処理しながら、外部データに混ざった悪い命令だけを無視できるかです。

OpenAIは、Indirect Prompt Injection Arenaを内部で再現した評価で、GPT-Redが未知のシナリオでも人間のred-teamersより高い攻撃成功率を出したと説明しています。さらに、実際の自律エージェントに近い検査として、社内の自動販売機エージェントやCodex CLIエージェントを攻撃した事例も挙げています。ここで見えてくるのは、AIの安全性がチャットの文章品質ではなく、価格変更、注文、ファイル探索、データ持ち出しといった行動面で測られ始めていることです。

GPT-Redで見えてきた安全性の測り方
観点OpenAIが示した内容読者にとっての意味
攻撃面メール、Webページ、ローカルファイル、ツール出力などに命令が紛れ込むAIが外部データを読むほど、第三者の命令を誤って信じる危険が増える
訓練方法攻撃役と防御役を自己対戦で同時に訓練する安全検査が手作業だけでなく、モデル訓練の中に入る
本番との距離GPT-Redは内部用に分離し、攻撃能力を本番モデルへ直接出さない危険な能力を使って守るが、その能力を製品には開放しない
成果の見方GPT-5.6 Solで直接プロンプトインジェクションの失敗が大きく減ったと説明拒否を増やすだけでなく、仕事を続けながら悪い命令を無視することが焦点になる

Codex時代の信頼は、出力よりツール実行の境界を見る

CodexやChatGPTのようなエージェント型の道具では、ユーザーが最後に読む回答だけを見ても安全かどうか分かりません。攻撃は、最終回答に痕跡を残さず、途中のツール呼び出しだけを変えることがあります。公開競技の研究でも、エージェントがメール、文書、コード、コンピュータ操作を扱うほど、外部コンテンツ由来の命令と本来のユーザー依頼を分ける難しさが中心課題になっています。

だからGPT-Redは、OpenAIの安全研究であると同時に、これからのAIインターフェイスの話でもあります。安全性は「危ない回答を出さない」だけでは足りない。エージェントがどの入力を信じたか、どの権限で何を実行したか、攻撃が見つかったときに次のモデルへどう戻すかまでが、製品の信頼面になります。

GPT-Redの読みどころは、OpenAIが強い攻撃モデルを作ったこと自体より、その攻撃能力を本番モデルへ出さず、次のモデルの訓練と評価へ閉じ込めている点です。AIエージェントが仕事の中で外部データを読むほど、プロンプトインジェクションは文章のいたずらではなく、権限とツール実行の問題になります。GPT-Redは、その危険をAI自身に先回りして探させる、エージェント時代の安全運用面です。