2026年7月9日,OpenAI正式发布了GPT-5.6 Sol。六天后,一篇博客揭开了这代模型“特别能扛打”的秘密,一个名叫GPT-Red的AI黑客,在训练中把GPT-5.6往死里攻击了无数次,直到它学会防身。这不是一个关于漏洞的故事。这是关于AI如何用自己驯服自己的故事。
AI发现了一种人类从未见过的攻击方式
2026年7月15日,OpenAI发布了一篇题为《GPT-Red: Unlocking Self-Improvement for Robustness》的博客,正式公开了一个内部研发的自动化红队测试模型。这个模型不回答任何问题,它的唯一使命是攻击其他AI模型,找到它们的漏洞。
GPT-Red训练完成后,OpenAI将它生成的Prompt注入攻击直接喂进了GPT-5.6的训练流程。结果,GPT-5.6 Sol成为OpenAI迄今为止最扛打的模型。在最难的直接Prompt注入基准测试中,GPT-5.6的失败次数比四个月前的最佳生产模型减少了6倍。
更直观的数据是,GPT-Red练出的最强攻击手段,对GPT-5(2025年8月发布)的有效率超过90%。但对GPT-5.6,这一数字骤降至23%以下。
“风险面在扩大,爆炸半径也在扩大,”GPT-Red的联合创造者、OpenAI研究科学家Nikhil Kandpal告诉MIT Technology Review。
GPT-Red不仅是一个更强的攻击者,它还发现了一种全新的攻击方式,团队称之为“伪造思维链”(Fake Chain of Thought)。思维链是AI模型在推理过程中记录中间步骤的内部日志。GPT-Red学会了一种方法,在目标模型的思维链中插入虚假条目,让模型以为某些错误信息已经被验证过。研究团队的另一位成员Chris Choquette-Choo打了个比方:“这就像我告诉你1+1=3,而且你已经验证过了。模型就会想,‘哦,好吧,当然是3’,然后直接输出3。”
这种攻击方式,人类红队此前从未见过。
红队测试的规模化困局
红队测试是AI安全领域的核心实践。一支安全专家团队在AI系统发布前,用尽一切手段尝试攻破它,诱导它输出有害内容、泄露敏感信息、执行未经授权的操作。找到漏洞后修复,然后发布更安全的版本。
这套流程在AI的早期阶段足够用。但问题在于,AI能力在指数级增长,人类红队的规模只能线性扩张。
你无法靠招聘更多安全研究员来跟上模型能力的增长速度。一个人类红队成员要设计攻击方案、编写测试用例、分析模型响应,这个过程极其耗时。即使团队规模翻倍,能覆盖的攻击面增长也远不及模型能力的膨胀速度。
更关键的是,现有的鲁棒性评估基准已经被最新模型刷满了。GPT-5.6之前的几代模型,在常用的Prompt注入测试集上几乎接近满分。不是因为它们真的安全了,而是因为测试集太老了。
OpenAI在博客中坦承,当前的红队方法无法规模化,正在成为瓶颈。我们需要让安全和对齐能够与模型能力同步扩展。
自对弈:安全Scaling Law的雏形
GPT-Red的核心技术路线是“自对弈”(Self-Play)。OpenAI的研究团队拿了一个未经黑客训练的通用LLM,把它放进一个专门的“道场”(Dojo),让它与多个其他模型反复对抗。
这个道场模拟了真实世界中AI模型可能遇到的各种场景:浏览网页、读取邮件和日历、编辑代码、与外部工具交互。GPT-Red的任务是攻击,其他模型的任务是防御。经过成千上万轮攻防,GPT-Red越来越擅长攻击,而被攻击的模型也越来越擅长防御。
GPT-Red是在“公司历史上最大规模的后训练算力量级”上训练的。这是OpenAI有史以来第一次将如此巨量的计算资源专门用于提升安全。这个选择的意义被严重低估了。GPT-Red的训练量级已经超过了大多数AI公司的全部训练预算。OpenAI是在用造一个GPT的算力,去造一个“安全检察官”。
从补丁到免疫系统
传统AI安全流程是“先发布,再修复”。模型发布后,人类红队或社区发现漏洞,团队打补丁,发布新版本。这是典型的“外挂式”安全。
GPT-Red带来的变化是“内生式”安全。在模型训练阶段就注入对抗性数据,让模型在学会能力的同时,也学会抵御攻击。这相当于给模型注射了疫苗。不是发布后补漏洞,而是让模型在训练中长出免疫力。
OpenAI强调,GPT-Red不是替代人类红队,而是补充。人类能发现GPT-Red遗漏的攻击,GPT-Red也能找到人类从未见过的漏洞。那个“伪造思维链”攻击就是最好的例子。
但GPT-Red也有短板。它在需要多轮对话交互的攻击场景中表现不佳,这正是人类攻击者的强项。它也不擅长利用图像进行Prompt注入。所以OpenAI目前的策略是让GPT-Red和人类红队协同作战,甚至让GPT-Red在人类发现的攻击基础上,自动生成所有可能的变体。
安全即护城河
GPT-Red不会对外发布。OpenAI明确表示,这是内部工具,永远不会公开。
原因很直接,GPT-Red太强了。研究团队透露,他们花了超过一年时间研发GPT-Red,背后是OpenAI庞大的算力支撑。Chris Choquette-Choo直言:“这不是别人随便就能做的事,‘哦,我就去训练一个超级攻击者’,没这么简单。”
这意味着什么?安全正在成为AI公司之间一道新的护城河。
在GPT-5.6的时代,模型能力本身正在趋同。Anthropic的Fable被认为在“原始智能”上更有优势,但GPT-5.6在可靠性和安全性上建立了差异化。Sam Altman告诉CNBC,GPT-5.6 Sol在智能体编码任务上的Token效率提升了54%,他说“每个企业现在都在考虑AI投入和回报的价值”。
而GPT-Red的存在,意味着OpenAI在安全维度上拥有了一个加速器。更强的新模型不仅意味着更强的能力,还意味着更强的安全测试能力,从而让下一代模型更安全。这是一个正反馈循环。
其他AI公司要复制GPT-Red的路径,不仅需要顶尖的研究团队,还需要与OpenAI同量级的算力投入。全球能承担这种投入的公司,一只手数得过来。
安全竞赛的起跑线已被重画
GPT-Red带来的是双重启示。
AI安全终于找到了自己的Scaling Law。过去几年,行业一直在讨论Scaling Law是否见顶,模型能力继续增长的边际收益是否在递减。但GPT-Red指向了一个新方向,安全能力的Scaling Law才刚刚开始。当自动化红队测试的能力随模型能力的增长而同步增强时,安全和能力就不再是此消彼长的零和博弈,而是互相促进的正循环。
同时,安全正在从“成本中心”变成“竞争壁垒”。在AI能力逐渐趋同的背景下,谁能以更低的成本、更快的速度发现和修复安全漏洞,谁就能在部署速度和用户体验上建立优势。GPT-Red代表了一种“安全优先”的工程范式,不是发布后再补救,而是在训练中就把安全嵌入模型的本体。
当然,GPT-Red并非终点。多轮对话攻击、图像Prompt注入、Agent间交互的安全问题,这些是GPT-Red尚未完全攻克的领域。但方向已经明确,用AI来驯服AI,不是一句口号,而是正在发生的工程实践。
OpenAI在博客中写道:“随着更强模型的到来,我们已经设计好了能够发现新攻击模式的系统。”
用AI驯服AI,不是一句口号,而是一套正在运转的工程闭环。当OpenAI把造一个GPT的算力用来造一个“安全检察官”时,行业安全竞赛的起跑线,已经被重新画了一遍。






快报