Najgroźniejsza instrukcja dla agenta AI może nie przyjść w wiadomości od użytkownika. Może czekać w mailu, w pliku, na stronie internetowej albo w wyniku narzędzia, które agent uzna za wiarygodne. Wtedy model dostaje polecenie udające część zadania i zaczyna działać przeciwko osobie, której miał pomagać. GPT Red ma nauczyć modele rozpoznawania właśnie takich pułapek. Nie jest jednak nową wersją ChatGPT ani narzędziem dla programistów. To wewnętrzny napastnik trenowany po to, by przed wdrożeniem znaleźć sposoby na złamanie zachowania innych modeli.
GPT Red nie jest kolejnym ChatGPT
GPT-Red to automatyczny system red-teamingu, czyli kontrolowanego szukania słabych punktów w systemie. OpenAI opisało go 15 lipca jako swój najmocniejszy model do tego zadania i jednocześnie zaznaczyło, że trzyma go oddzielnie od modeli udostępnianych użytkownikom. Nie znajdziesz go więc ani na liście modeli w ChatGPT, ani w interfejsie programistycznym.
To ważne rozróżnienie. Zwykły model ma pomóc napisać kod, streścić dokument albo użyć narzędzia. GPT-Red ma zrobić coś przeciwnego: tak długo sprawdzać wejścia i odpowiedzi celu, aż znajdzie drogę do niepożądanego działania. W tej roli potrafi symulować sposób myślenia atakującego, ale nie dostaje dostępu do użytkowników.
OpenAI wskazuje przede wszystkim na prompt injection, czyli wstrzyknięcie do treści instrukcji, której model nie powinien wykonywać. To problem szczególnie istotny dla agentów, bo czytają obce dane i potrafią wykonywać działania poza oknem rozmowy. Przy okazji ataku na Groka pokazaliśmy już, że sama sprytna instrukcja nie musi być jedyną przyczyną szkody: krytyczne bywa też to, jakie uprawnienia otrzymał agent i co uznaje za polecenie. Przykład z alfabetem Morse’a dobrze pokazuje tę różnicę.
Atakujący i obrońca uczą się razem – GPT Red
GPT-Red powstał w modelu samogry. Jeden model próbuje doprowadzić do poprawnie zdefiniowanej porażki, na przykład nakłonić agenta do wykonania wrogiej instrukcji. Kilka modeli obronnych dostaje odwrotną nagrodę: ma odrzucić manipulację i mimo tego dokończyć prawdziwe zadanie użytkownika.
W miarę jak obrona staje się trudniejsza do przełamania, atakujący musi szukać nowych wariantów. OpenAI przygotowało do tego środowiska przypominające pracę agenta z plikami, pocztą, stronami i narzędziami. Nie chodzi więc o jedną listę zakazanych zdań. Chodzi o wielokrotne testowanie tego, co agent zrobi, gdy niebezpieczna instrukcja zostanie ukryta w kontekście zwykłego zadania.
Bezpieczeństwo agenta nie zależy tylko od tego, czy model umie odmówić. Zależy też od tego, czy potrafi odróżnić dane, które ma przeczytać, od polecenia, które wolno mu wykonać.
To podejście ma sens, bo człowiekowi trudno ręcznie wymyślić tysiące wariantów ataku dla każdego pliku, formularza i połączenia zewnętrznego. Nie oznacza jednak, że algorytm może zastąpić audytora. Automatyczny tester sprawdza przede wszystkim to, do czego został przygotowany; człowiek bywa potrzebny tam, gdzie scenariusz jest nieoczywisty albo wymaga zrozumienia realnego procesu firmy.
Wynik 84% brzmi mocno, ale ma konkretny zakres
Według OpenAI GPT Red znalazł skuteczne ataki w 84% scenariuszy wewnętrznej repliki testu pośredniego prompt injection. Ludzie testujący ten sam zestaw środowisk osiągnęli 13%. To nie jest jednak tabela ligowa ludzi i maszyn. Firma testowała własny system w przygotowanych scenariuszach, a nie niezależny przekrój wszystkich możliwych agentów i ataków.
Z tego samego powodu ostrożnie należy czytać kolejne liczby z komunikatu. OpenAI podaje, że GPT-5.6 Sol ma sześć razy mniej porażek na najtrudniejszym teście bezpośredniego prompt injection niż najlepszy model produkcyjny firmy sprzed czterech miesięcy. W innym zestawie GPT-5.6 Sol nie oparł się 0,05% bezpośrednich ataków GPT-Red. To dobry sygnał postępu w ramach testów OpenAI, ale nie obietnica, że każdy agent oparty na tym modelu jest bezpieczny.
Największa wartość tego ogłoszenia leży gdzie indziej. Pokazuje, że twórcy modeli zaczynają traktować odporność na wrogie instrukcje jak proces treningowy, a nie jednorazowy test przed premierą. Opis badań OpenAI warto czytać razem z metodologią, bo właśnie ona mówi, czego liczby nie obejmują.
Vendy pokazał, dlaczego agent to więcej niż czat
W jednym z testów GPT Red zaatakował działającego agenta obsługującego automat z produktami. Według OpenAI doprowadził do obniżenia ceny drogiego towaru do minimalnej kwoty, zamówienia kolejnego produktu z przeznaczeniem do taniej sprzedaży i anulowania cudzego zamówienia. Wykryte problemy zgłoszono, a zabezpieczenia są testowane.
Nie chodzi tu o to, czy automat z przekąskami jest ważnym celem. Ten przypadek dobrze odsłania stawkę. Model, który tylko odpowiada tekstem, może wprowadzić w błąd. Model połączony z cenami, zamówieniami, skrzynką pocztową lub systemem firmy może zmienić stan rzeczywistości. Im więcej narzędzi dostaje, tym mniej wystarcza samo zapewnienie, że “nie da się oszukać”.
Właśnie dlatego zagrożenie prompt injection wraca przy serwerach MCP i innych połączeniach między agentem a zewnętrznymi usługami. W naszym tekście o bezpieczeństwie serwerów MCP opisujemy, dlaczego opis narzędzia lub zwrócone przez niego dane też mogą stać się nośnikiem manipulacji.
Co z tego wynika dla zespołu budującego agenta
GPT Red nie rozwiązuje problemu za firmy korzystające z agentów. Nie jest też dodatkiem, który da się po prostu włączyć. Daje za to dobrą lekcję projektową: trzeba zakładać, że każdy dokument, wynik wyszukiwania i odpowiedź narzędzia może zawierać treść sterującą zachowaniem modelu.
W praktyce warto ograniczać uprawnienia narzędzi do minimum, rozdzielać odczyt danych od działań takich jak wysłanie wiadomości lub zmiana ceny oraz zostawiać człowiekowi potwierdzenie kroków o dużych skutkach. Testy powinny obejmować także dane, które agent pobiera z zewnątrz, nie tylko ładnie przygotowane prompty wpisywane w oknie czatu.
To mniej widowiskowe niż obietnica “modelu odpornego na wszystko”, lecz znacznie bliższe realnemu bezpieczeństwu. OpenAI samo podkreśla, że będzie łączyć automatyczne testy z pracą ludzi, testami zewnętrznymi i innymi warstwami ochrony. Niezależne omówienie w MIT Technology Review zwraca dodatkowo uwagę na obecne ograniczenia GPT-Red w atakach wieloturowych i opartych na obrazach.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz, jak naprawdę działa.
Pierwsza Misja AI ma lekcję o ciemnej stronie AI: halucynacjach, deepfake’ach i manipulacji. Najpierw poznaj mechanizmy, które za nimi stoją.
Poznaj pełny program →

Podsumowanie – GPT Red
GPT Red nie jest narzędziem, które użytkownik pobierze z ChatGPT. To wewnętrzny system OpenAI uczony do szukania prompt injection i innych sposobów na przejęcie zachowania agentów. Firma używa jego ataków do wzmacniania kolejnych modeli, a wyniki publikuje jako dowód poprawy własnych testów. Warto czytać je z właściwym zastrzeżeniem: odporność modelu nie zwalnia nikogo z projektowania ograniczonych uprawnień, kontroli działań i testów na prawdziwych danych. Najciekawsza w GPT-Red nie jest więc liczba 84%. Jest nią zmiana podejścia: obrona agentów musi uczyć się szybciej, niż atakujący znajdują nowe miejsca na ukrytą instrukcję.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.



