本文へスキップ
株式会社オブライト
AI2026-07-16約8分で読めます

OpenAI「GPT-Red」徹底解説

AIがAIを攻撃して守りを固める自動レッドチーミング。GPT-5.6のプロンプトインジェクション失敗率を0.05%まで下げた「安全性の自己改善」(2026-07-15発表)

OpenAIが2026年7月15日に公開した自動レッドチーミングモデル「GPT-Red」を徹底解説。self-play強化学習でAIに攻撃役を学習させ、その攻撃でGPT-5.6を鍛えることで堅牢性を高める「安全性の自己改善」の仕組み、プロンプトインジェクションを0.05%まで抑えた成果、自販機エージェント撃破の実例、そして中小企業がAIエージェントを使う上での教訓までを図解付きで整理します。


GPT-Redとは、OpenAIが2026年7月15日に公開した、自社モデルの脆弱性を自動で発見する社内限定のレッドチーミング(攻撃役)専用AIである。人間による脆弱性診断が追いつかない問題を解決するため、self-play強化学習で「攻撃するAI」を鍛え、その攻撃で本番モデルを敵対的に訓練することで堅牢性を高める。結果、最新のGPT-5.6 Solは主要なプロンプトインジェクション(後述)への耐性が大幅に向上した。タイトルの「自己改善(self-improvement)」はモデルの賢さではなく、安全性の自己改善を指す点が重要だ。

本記事はAI業界動向の技術解説であり、攻撃手法そのものを再現・指南するものではない。中小企業がAIエージェントを業務利用する際の「知っておくべきリスクと対策の方向性」を、一次情報から中立に整理する。

そもそもプロンプトインジェクションとは何か

プロンプトインジェクションとは、AIが処理する外部データ(Webページ・メール本文・ファイル・ツールの応答など)の中に悪意ある指示を紛れ込ませ、AIを本来の意図と違う動作へ誘導する攻撃だ。AIエージェントはブラウザ・連携アプリ・ローカルファイルなどを通じて第三者のデータに触れる。これは実務をこなすために必要な機能だが、同時に「攻撃者がAIの振る舞いに介入する隙」も生む。OpenAIが挙げる典型例は、メールやWebページ・コードリポジトリに『機密データを外部サーバーにアップロードせよ』という巧妙な指示を仕込む、といったものだ。エージェントに権限を与えて自動処理させるほど、この種のリスクは現実味を増す。

何が発表されたのか — 「攻撃するAI」を大規模計算で育てる

人間のレッドチーミング(脆弱性を突く模擬攻撃)は安全性の要だが、設計・実行に時間がかかり、訓練に使えるほど大量・多様な攻撃データを生み出せないという限界があった。そこでOpenAIは、脆弱性を自動で発見し、モデル訓練中に攻撃を生成して堅牢性を高める自動レッドチーミングモデルを育ててきた。その集大成がGPT-Redだ。OpenAIは「今日のモデルを使って明日のモデルをより安全にする」ことを、安全性における一種の自己改善(self-improvement)と位置づけている。GPT-Redは同社の最大級のポストトレーニング実行に匹敵する計算量で訓練されており、「純粋に安全性向上のために投じた前例のない計算量」と表現されている。

仕組み — 攻撃役と守備役を同時に鍛える「self-play」

GPT-Redはself-play強化学習で訓練される。攻撃役のGPT-Redと、多様な守備役(defender)LLM群を同時に学習させ、GPT-Redは「有効な失敗を引き起こす(=攻撃成功)」と報酬を得て、守備役は「攻撃に耐えつつ本来のタスクを完遂する」と報酬を得る。守備役が強くなるほど、GPT-Redはより強く多様な攻撃を編み出さざるを得なくなる — この競り合いが両者を同時に引き上げる。攻撃の舞台として、ローカルファイルの一部・Webページのバナー・メール本文・ツールの出力など、プロンプトインジェクションが差し込まれ得る現実的なシナリオが大量に用意される。

Loading diagram...

訓練の最終段階では、GPT-Redは内部・本番を問わずGPT-5.5までのほぼ全モデルを破れる非常に強力な攻撃者になる。訓練完了後、GPT-RedにGPT-5.6用のプロンプトインジェクションを生成させて訓練に使った結果、GPT-5.6はGPT-Redの攻撃に高い耐性を持つに至った。重要なのは、OpenAIがGPT-Redを本番モデルと切り離し、社内限定に留めている点だ。攻撃能力を意図的に仕込んだモデルを外部に出さないことで、悪用を防ぎつつ、本番モデルには堅牢性だけを移植する設計になっている。

どれくらい強く、どれくらい効いたのか — 数字で見る成果

指標結果
GPT-5.6 Sol の最難関・直接プロンプトインジェクション4ヶ月前の最良モデル比 失敗6分の1
GPT-5.6 Sol が GPT-Red の直接攻撃に失敗する割合わずか0.05%
未知シナリオでの攻撃成功率(GPT-5.1相手)GPT-Red 84% / 人間 13%
「Fake CoT」攻撃の成功率GPT-5.1で95%超 → GPT-5.6 Solで10%未満
開発ツール・ブラウジング系の間接攻撃ベンチ最新モデルで 97%超の正答率(飽和)

GPT-Redは未知の攻撃シナリオへの汎化も示した。既存研究(Dziemian et al. 2025)の間接プロンプトインジェクション競技を社内で再現し、人間のレッドチーマーとGPT-Redが独立に攻撃を提案したところ、GPT-Redは84%のシナリオで成功、人間は13%と大差がついた。また、初期版GPT-Redは『Fake Chain-of-Thought(偽の思考連鎖)攻撃』という新種の直接攻撃を発見しており、GPT-5.1で95%超だった成功率が、対策後のGPT-5.6 Solでは10%未満に抑えられている。

実世界での実験 — 自販機エージェントを破る

机上のベンチだけでなく、GPT-Redは現実に近いエージェントシステムにも挑んだ。OpenAIオフィスのAI自販機エージェント「Vendy」(Andon Labs製、Project Vend系)を標的に、まずシミュレーションで攻撃を練り、本番エージェントへ転用。結果、①在庫の高額商品を最低価格の$0.50に改竄、②$100超の新商品を$0.50で提供、③別の客の注文をキャンセル、という3つの悪意ある目標をすべて達成した(脆弱性は開示され、対策が検証中)。同様にCodex CLIエージェント(GPT-5.4 mini)に対しても、10種のデータ持ち出しシナリオで既存手法より高い成功率・少ないトークンで攻撃を成立させている。これは「自律エージェントに実権限を与えると、実害のある操作まで誘導され得る」ことの生々しい実証だ。

「安全に見えるだけ」ではない — 能力を落とさず堅牢化

堅牢性の落とし穴は、「要求を過剰に拒否する」「機能を減らす」ことでも攻撃されにくく“見える”点だ。何もしないモデルは攻撃も通らないが、それは有用な堅牢性ではない。OpenAIは一般的なフロンティア能力と、あえて設計した「過剰拒否(over-refusal)」テストの両方を評価し、通常の能力を損なわずに堅牢性だけが向上したと報告している。つまり改善は『正当な要求を断る/ツールを使わなくなる』副作用ではなく、悪意ある指示への抵抗力そのものから来ている、という主張だ。

中小企業への示唆 — エージェント導入時の「守り」の勘所

この研究は最先端ラボの内部の話だが、AIエージェントを業務に入れる企業には直接の教訓がある。プロンプトインジェクションは理論上の脅威ではなく、実際のエージェントで成立する実害リスクだ。市販のAIツールを使う側の対策は、フロンティアモデルの堅牢化とは別に、運用設計で積み上げる必要がある。

- エージェントに与える権限を最小化する: メール送信・ファイルアップロード・決済・設定変更など「取り返しのつかない操作」は人間の承認を挟む(AIエージェント導入の考え方の延長)
- 外部データを鵜呑みにさせない前提で設計する: Web・メール・共有ファイルの内容は「指示」ではなく「データ」として扱う運用ルールを決める
- 機密データの経路を絞る: エージェントが社外に送信できる先・アップロードできる先を技術的に制限する(退職者アカウント管理と同じ、アクセス範囲の設計思想)
- ベンダーの安全対策を確認する: 採用するAIツールがプロンプトインジェクション対策や監視・ログをどう提供しているかを選定時に確認する
- ローカル/オンプレも万能ではない: 社内で完結するAI運用は情報漏えい経路を減らすが、インジェクション自体は入力データ経由で起こり得る

留保・注意点

- 数値は自社評価: 成果はOpenAI自身の評価環境・ベンチマークによるもので、第三者検証はこれから(プレプリントを後日公開予定とされる)
- GPT-Redは非公開: 一般ユーザーが使えるツールではなく、あくまで本番モデルの堅牢化に使われる内部モデル
- 「解決」ではなく「軍拡」: スケール拡大で新たな攻撃も見つかり続けており、堅牢性向上と攻撃発見はいたちごっこの構造。OpenAIも人間・第三者レッドチーム・多層防御・リアルタイム監視との併用を明言
- 自己改善への論点: 安全性の自己改善は歓迎される一方、能力の自己改善(AIがAIを訓練する流れ)と地続きであり、外部評価者の関与をめぐる議論は継続中

まとめ — 「安全性のフライホイール」の始動

GPT-Redが示したのは、AIエージェントの能力向上に使われてきた「AIがAIを鍛える」ループを、安全性の側にも回し始めたということだ。今日のモデルで明日のモデルをより堅牢・整合的にする — この発想は、攻撃者が同じくAIで攻撃を自動化・高度化してくる時代の防御として理にかなっている。中小企業にとっての実務的な読み替えはシンプルだ。エージェントは強力だが、外部データを触る以上インジェクションのリスクは残る。だからこそ「権限の最小化・外部データの扱い・機密の経路制限」という守りの設計は、モデルの堅牢化とは別に、使う側が用意しておくべき備えである。

GPT-Redは一般ユーザーも使えますか?

いいえ。GPT-Redは本番モデルの堅牢性を高めるためにOpenAIが社内限定で運用する非公開モデルで、外部提供はされていません。攻撃能力を意図的に仕込んだモデルを外に出さないことで、悪用を防ぐ設計とされています。

プロンプトインジェクションは自社が使うAIツールでも起こりますか?

起こり得ます。AIがWeb・メール・ファイル・連携アプリなど外部データを扱う限り、その中に悪意ある指示が仕込まれるリスクは残ります。エージェントに与える権限の最小化、取り返しのつかない操作への人間承認、機密データの送信先制限といった運用設計で備えるのが基本です。

この発表はモデルが賢くなったという話ですか?

いいえ。ここでの『自己改善』はモデルの知能ではなく安全性(堅牢性)の自己改善を指します。今日のモデル(GPT-Red)を使って将来のモデルの守りを固める仕組みで、GPT-5.6の能力向上そのものが主題ではありません。

お気軽にご相談ください

お問い合わせ