GPT‑Redとは?OpenAIがAIでAIを攻撃し、GPT‑5.6の堅牢性を高めた仕組み

強力すぎる攻撃AIだから、外には出さない——OpenAIは「GPT‑Red」をそう発表しました。ですが少し前、同社のサム・アルトマンは、ライバルのAnthropicが危険なモデルを秘匿する姿勢を「煽りだ」と皮肉っていたはずです。他社なら煽り、自社なら安全設計。その線引きは、どこにあるのでしょうか。


OpenAIは2026年7月15日、自動安全レッドチーミングモデル「GPT‑Red」を公表した。GPT‑Redはセルフプレイ強化学習で訓練され、プロンプトインジェクションなどの脆弱性を発見する。OpenAIはこれを用いてGPT‑5.6を敵対的に訓練し、GPT‑5.6 Solでは最難関の直接プロンプトインジェクションのベンチマークで、4か月前の最良の本番モデルと比べ失敗が6分の1になった。

GPT‑Redは内部・本番モデルをGPT‑5.5まで突破できる。Dziemian et al.(2026)の間接プロンプトインジェクション・アリーナ再現版では、GPT‑5.1への攻撃で人間が13%のシナリオで成功したのに対し、GPT‑Redは84%のシナリオで成功した。Andon Labs製の自販機エージェントVendyでは、価格を0.50ドルへ変更するなど3つの目的を達成した。

GPT‑5.6 Solは、保留環境におけるGPT‑Redの直接プロンプトインジェクションで0.05%しか失敗しない。詳細のプレプリントは今週後半に公開予定。

From: 文献リンクGPT‑Red: Unlocking Self-Improvement for Robustness | OpenAI

【編集部解説】

「今日のモデルで、明日のモデルをより安全にする」。GPT‑Redという取り組みの核心を一言で表すなら、この循環に尽きます。

これまでAIの世界で「自己改善」といえば、性能を上げるための話でした。モデルが次の世代のモデルを賢くする、その加速がここ数年の主役だったのです。今回OpenAIが示したのは、その同じ仕組みを「安全性」の側に持ち込めるという発想でした。攻撃役のAIを本気で鍛え、その攻撃を浴びせることで守り手を強くする。しかも一度きりではなく、モデルの訓練工程そのものに組み込んで回し続ける。ここが新しいところだと私は受け止めています。

なぜ、いま「プロンプトインジェクション」がこれほど重視されるのでしょうか。鍵は、AIが「答える存在」から「動く存在」へと変わりつつあることにあります。ブラウザを開き、メールを読み、ファイルを触り、コードを実行する。私たちが心待ちにしているエージェント時代の便利さは、そのまま「悪意ある指示を外部から忍び込ませる隙」の増加でもあります。メール本文やWebページのバナー、ツールの返答に紛れ込ませた一文が、機微なデータを外部へ送らせる引き金になり得る。GPT‑Redが突く弱点は、抽象的な脅威ではなく、私たちがこれから日常的に使う道具の弱点なのです。

その怖さを最も生々しく伝えるのが、Andon Labs製の自販機エージェント「Vendy」の事例でしょう。GPT‑Redはまずシミュレーションで攻撃を練り上げ、それを実機に転用して、高額商品の価格を0.50ドルに書き換え、他人の注文までキャンセルしてみせました。もしこれが自販機ではなく、決済や社内システムを預かるエージェントだったら——と想像すると、この研究が「安全のための攻撃」に計算資源を惜しまなかった理由が腑に落ちます。

一方で、冷静に見ておきたい点もあります。今回示された「4か月前比で失敗6分の1」「人間の13%に対しGPT‑Redは84%のシナリオで攻撃成功」「保留環境での失敗率0.05%」といった数字は、いずれもOpenAIが自社の環境で測ったものです。堅牢性が大きく前進したこと自体は疑いにくいものの、第三者が同じ条件で再現・検証した数値ではない、という前提は押さえておくべきでしょう。近日公開予定というプレプリントで、その中身がどこまで開かれるかが次の見どころになります。

もう一つ、考えさせられるのが「強力な攻撃者を、あえて世に出さない」という設計です。OpenAIはGPT‑Redを本番モデルから切り離し、内部専用にとどめると明言しています。悪用の道具を渡さないための当然の判断であると同時に、これは「安全のために、あえて強力な攻撃能力を保有する」という選択でもあります。守るために鋭い刃を手元に置く。その刃をどう管理し、どこまで透明性を保つかは、今後この手法が業界に広がるほど問われていくテーマだと考えます。

付け加えれば、AIどうしを競わせて堅牢性を高める「セルフプレイ」という発想自体は、学術研究の側で以前から可能性が指摘されてきたものでもあります。今回の意義は、着想の新しさよりも、それをフロンティアモデルの製造ラインに乗る規模で実装し、成果として示した点にあります。攻撃と防御が互いを引き上げていくこの循環が、これからのAIの「信頼」をどこまで底上げできるのか。未来を触りたいと願う私たちにとって、静かに、しかし確実に見守る価値のある一歩です。

【関連記事】

「不正が減ったら、もっと怖い」──METRがGPT‑5.6 Solに突きつけた逆説
同じGPT‑5.6 Solの安全性評価を扱う姉妹記事。自社検証の数値をどう捉えるかという論点が本稿と直結する。

CrowdStrike、AIエージェントを狙う新プロンプトインジェクション5手法を公表
攻撃者側の最新手口を整理した記事。守る側のGPT‑Redと対で読むと、攻防の全体像が立体的に見える。

OpenAIが公開、AIエージェントのURL漏洩対策の全貌
OpenAIのプロンプトインジェクション多層防御を解説。本稿が触れた継続的レッドチーミングの前史にあたる。

【編集部後記】

ひとつ、忘れられない対比があります。かつてサム・アルトマンは、Anthropicが「危険だから渡さない」とMythosを語る姿勢を、恐怖を売るマーケティングだと評しました。ところが今回、OpenAI自身がGPT‑Redを「強力すぎるから内部専用にする」と説明しています。

同じ「危険ゆえに隠す」でも、他社がやれば煽り、自社がやれば責任ある設計になる。この線引きを引いているのは技術なのか、それとも立場なのか。二社が隠したがるその力を、私たちはいつ、外から確かめられるのでしょうか。


【用語解説】

プロンプトインジェクション
AIへの「なりすまし命令」による攻撃だ。ユーザーでも開発者でもない第三者が、Webページやメール、ファイル、ツールの応答などに悪意ある指示を紛れ込ませ、AIを本来の意図と異なる動作へ誘導する。フィッシング詐欺のAI版といえる。とくにブラウザやアプリを操作するAIエージェントで危険性が増す。なお、ここで述べたのは主に外部コンテンツ経由の「間接型」で、ユーザーの入力そのものが攻撃となる「直接型」も存在する。

レッドチーミング
システムを意図的に攻撃し、悪用される前に弱点を洗い出す検証手法だ。もとは軍事やサイバーセキュリティの用語で、攻撃側を「レッドチーム」と呼ぶ。AI開発では、公開前のモデルに攻撃を仕掛けて脆弱性を発見する工程を指す。

セルフプレイ強化学習
AIどうしを競わせ、互いの上達を通じて能力を高める学習手法だ。囲碁AIが自己対戦で強くなった仕組みに近い。GPT‑Redでは、攻撃役と防御役のモデルを同時に訓練し、防御が固くなるほど攻撃も高度化する構図をとる。

AIエージェント
質問に答えるだけでなく、ブラウザ操作、メール送受信、ファイル処理、コード実行などを自律的にこなすAIだ。「答える存在」から「動く存在」への進化であり、便利さと引き換えに攻撃の対象となる面も広がる。

ベンチマーク
モデルの性能や堅牢性を共通の基準で測る評価用の指標・課題群だ。記事では、直接プロンプトインジェクションへの耐性などを測る基準として登場する。数値の多くはOpenAIが自社環境で測定したものである点に留意したい。

アラインメント
AIの振る舞いを人間の意図や価値観に沿わせることだ。能力の向上と歩調を合わせて安全性を保つ、という文脈で用いられる。

GPT‑Red
今回OpenAIが公表した自動安全レッドチーミングモデルだ。悪意ある能力を意図的に訓練したモデルであるため、本番モデルとは切り離して内部専用で管理される。一般公開された製品ではなく、内部専用の研究モデルである。

【参考リンク】

OpenAI(公式サイト)(外部)
GPT‑Redを開発・公表したAI研究企業。ChatGPTやGPTシリーズ、Codexなど生成AIの主要製品を世界に提供している。

GPT‑Red: Unlocking Self-Improvement for Robustness(外部)
GPT‑Redの訓練手法や評価結果、堅牢性向上の具体的な数値を示したOpenAIの公式発表。本稿が根拠とした一次情報である。

Understanding prompt injections(OpenAI)(外部)
プロンプトインジェクションの仕組みと、OpenAIが講じる多層的な防御策や利用時の注意点を平易にまとめた公式解説ページ。

Andon Labs(公式サイト)(外部)
自販機エージェントVendyを製作したAI安全性スタートアップ。自律型AIを実環境に置いて検証する取り組みを進めている。

Vending-Bench(Andon Labs)(外部)
AIに自販機経営を任せ、長期にわたる一貫性や信頼性を測る評価環境。Vendy突破事例の背景を理解する手がかりになる。

【参考記事】

OpenAI’s GPT-Red Slashes Prompt-Injection Success on GPT-5.6(AI Weekly)(外部)
人間13%に対しGPT‑Red 84%、攻撃成功率6分の1などの数値を整理。偽の思考連鎖攻撃やVendy突破にも言及する記事。

OpenAI Uses AI Red Team to Strengthen GPT-5.6 Against Prompt Injection Attacks(Decrypt)(外部)
GPT‑Redが内部評価の84%で成功した点や、自販機エージェントの価格改変・注文キャンセル事例を報じる海外テック記事。

OpenAI GPT-Red beat human red teamers on a prompt injection test(Help Net Security)(外部)
攻撃役と防御役が競い合うセルフプレイ強化学習の構造を、技術面から丁寧に解説したセキュリティ専門メディアの記事。

OpenAI says prompt injections that can trick AI browsers may never be fully ‘solved’(Fortune)(外部)
自動レッドチーミングに対する外部研究者の慎重論を紹介。成果を冷静に捉える留保の根拠とした海外経済メディアの記事。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。