AI

GPT-Redとは?OpenAIの自動レッドチーミングAIの仕組みと実装判断を解説

OpenAIは2026年7月15日(現地時間)、自社モデルの弱点を自動で探し出す社内専用のレッドチーミングモデル「GPT-Red」を発表しました。未知のシナリオを使った検証では、人間のレッドチーマーの攻撃成功率13%に対し、GPT-Redは84%のシナリオで攻撃を成立させています。この記事では、self-play強化学習による訓練の仕組み、GPT-5.6の耐性向上を示す実測数値、fake chain of thoughtと呼ばれる新しい攻撃クラス、そしてLLMを組み込むシステム開発の現場が今回の発表をどう読むべきかまでを整理します。対象読者は、生成AIを業務システムに組み込む実装者と技術選定者です。

目次

まとめ:GPT-Redの要点と実装現場への影響

GPT-Redは、OpenAIが自社モデルへの攻撃者として訓練した非公開の自動レッドチーミングモデルです。攻撃側のGPT-Redと防御側のLLMをself-play強化学習で同時に鍛え、見つけた攻撃をそのまま防御側の訓練データに回す構造を持ちます。外部へのAPI提供は予定されていません。

公表数値のうち実装判断に効くのは2つです。第一に、未知の間接プロンプトインジェクションで人間13%に対しGPT-Redが84%という攻撃発見力。第二に、GPT-5世代へ90%超で通っていた攻撃がGPT-5.6では23%未満まで抑えられたという耐性向上です。外部ツールと連携するエージェントを設計するなら、基盤モデルの注入耐性を選定基準に含める段階に入りました。一方でマルチターン攻撃や画像経由の注入には弱さが残るため、アプリケーション側の権限分離と入力検証は引き続き必要になります。

GPT-Redの基本像:OpenAIが社内運用する自動レッドチーミングモデルの位置付け

まず、GPT-Redがどのような存在として発表されたのかを、公式発表と報道の事実関係から押さえます。

2026年7月発表の経緯とGPT-5.6訓練への投入という公式発表の骨子

GPT-Redは2026年7月15日(現地時間)、OpenAIの公式ブログとMIT Technology Reviewの取材記事を通じて公開されました。単発の研究発表ではなく、既に本番モデルの訓練工程へ組み込まれている点が特徴です。OpenAIはGPT-5.6を自社史上「最も堅牢なリリース」と位置付けており、その根拠としてGPT-Redとの対戦訓練を挙げています。

発表の主眼は新モデルの宣伝ではなく、安全性検証を継続的な工程へ変えたという運用面の転換にあります。従来のレッドチーミングはリリース前の一度きりの関門でしたが、GPT-Red方式では攻撃と防御が訓練中に何度も往復するため、堅牢化が常時進む形になりました。

レッドチーミングの基礎知識と人手検証が抱える規模・多様性の限界

レッドチーミングは、攻撃者の視点でシステムを壊しにいき、弱点を先回りで発見する検証手法です。LLMの場合は、モデルに意図しない指示を実行させるプロンプトインジェクションの探索が中心になります。従来は専門家チームが手作業で担ってきました。

人手方式の制約は2点あります。まず時間と人数の制約で試行数が伸びず、大規模モデルの攻撃面を覆いきれないこと。次に、防御側の訓練に使えるだけの量と多様性を備えた攻撃データを人手では生成できないことです。GPT-Redはこの2点を自動化で解消する狙いで開発されました。

非公開・社内限定モデルという提供形態と攻撃能力隔離の設計思想

GPT-RedのAPI提供や重みの公開は予定されていません。意図的に攻撃能力を訓練したモデルであるため、デプロイされる製品系のモデルからは分離した社内専用の位置付けです。悪用リスクの遮断に加え、同種の仕組みを他社が容易に複製できないという事業判断も背景にあります。

利用者から見ると、GPT-Redそのものには触れない一方、その成果はGPT-5.6系モデルの耐性として間接的に受け取る形になります。「使う技術」ではなく「モデル選定の判断材料になる技術」として捉えるのが正確です。

self-play強化学習の仕組み:攻撃側と防御側を同時に鍛える訓練ループ

次に、GPT-Redがどうやって人間を上回る攻撃能力を獲得したのか、訓練の構造を分解します。

攻撃側GPT-Redと防御側LLMを同時訓練するself-playの構造

訓練は自己対戦(self-play)型の強化学習で進みます。攻撃側のGPT-Redが目標を与えられ、防御側のGPTモデルへプロンプトを送り、応答を観察しながら攻撃を組み替えていきます。成功した攻撃事例は防御側の訓練データへ回されるため、攻撃と防御が交互に強くなる共進化の構造です。

この方式の利点は、防御側の改善が進むと攻撃側は従来の手が通らなくなり、新しい攻撃の開拓を迫られる点にあります。攻撃データの量と多様性が人手の限界を離れて増え続けるため、防御側の訓練材料が枯渇しにくい設計といえます。

Web閲覧・メール読取・コード編集を模したtraining dojoの実務シナリオ

攻撃の練習場としてOpenAIが用意したのが「training dojo」と呼ばれる模擬環境です。Webブラウジング、メールの読み取り、コード編集といった、実際のエージェントが外部データに触れる場面を再現し、その中でGPT-Redに攻撃を試行させます。

この設計は、間接プロンプトインジェクションが現実に起きる経路をそのまま訓練対象にしている点で実務的です。Webページやメール本文に仕込まれた指示をエージェントが拾って実行してしまう事故は、外部ツール連携を持つ業務システムでそのまま起こり得る形態のため、模擬環境での耐性向上が本番の防御に直結しやすくなります。

fake chain of thought攻撃の独自発見と成功率10%未満への抑制

GPT-Redは、人間の研究者が特定するより先に「fake chain of thought」という攻撃クラスを独自に発見しました。モデルの思考過程(chain of thought)へ検証済みを装った偽の推論ステップを挿入し、誤った前提のまま動作させる手口です。

報道によると、この攻撃はGPT-5.1に対して95%の成功率を示していましたが、GPT-Red由来の訓練を経たGPT-5.6では10%未満まで抑えられています。機械が新しい攻撃クラスを自力で開拓した事例であり、防御の訓練データ源という役割を超えた発見能力を示した数値です。

実測数値で見る攻撃性能:人間レッドチーム13%に対しGPT-Redは84%

公表された数値を整理し、どこまでを信頼し、どこからを残余リスクとして扱うべきかを読み解きます。

間接プロンプトインジェクション新規シナリオでの84%対13%という結果

2025年に実施された比較実験では、どちらにとっても初見となる間接プロンプトインジェクションのシナリオを、人間のレッドチーマーとGPT-Redの双方に解かせました。結果は人間の攻撃成功率13%に対し、GPT-Redは84%のシナリオで攻撃を成立させています。

この差は探索の物量に由来します。人間が1シナリオに割ける試行回数は限られる一方、GPT-Redは大量の攻撃パターンを並列に生成・検証できるためです。ただし人間のレッドチーマーだけが見つけた攻撃も残っており、OpenAI自身も人手の検証を廃止していません。自動化は人間の置き換えではなく、試行数の桁を変える増幅装置と読むのが妥当です。

GPT-5で90%超だった攻撃成功率がGPT-5.6で23%未満に低下

防御側の改善を示す数値も公表されています。前世代のGPT-5に対して90%超の確率で成功していた攻撃群が、GPT-Redとの対戦訓練を経たGPT-5.6では23%未満しか通らなくなりました。主要な公表値を一覧にします。

指標 数値(2026年7月時点の公表値)
人間レッドチーマーの成功率 13%(新規シナリオ)
GPT-Redの成功率 84%(同一条件)
GPT-5への攻撃成功率 90%超
GPT-5.6への攻撃成功率 23%未満
fake CoT攻撃(GPT-5.1) 95%
fake CoT攻撃(GPT-5.6) 10%未満

いずれもOpenAI側の公表値であり、第三者による再現検証はまだありません。桁として大きな改善である一方、23%や10%という数字は「まだ通る攻撃がある」という残余リスクの表明でもあるため、ゼロにはならない前提で読む必要があります。

マルチターン攻撃と画像経由の注入に残る弱点という現時点の限界

OpenAI自身が認める限界が2つあります。ひとつは、攻撃者が対象と会話を重ねながら誘導するマルチターン型攻撃の探索が不得手なこと。もうひとつは、画像にテキストを埋め込んで渡す画像経由のプロンプトインジェクションへの対応が未成熟なことです。

どちらも実運用のチャットボットやマルチモーダル対応システムでは現実的な攻撃経路になります。GPT-Redが強化したのは主としてテキストによる短手数の注入への耐性であり、会話設計や画像入力の検証はアプリケーション側の守備範囲として残ると考えるのが安全です。GPT-Red方式が他社モデルにどこまで通用するかも、現時点では公表されていません。

LLM組み込みシステムの開発実務にGPT-Redの知見を反映する判断基準

ここからは、今回の発表を受託開発と自社開発の現場でどう扱うか、条件付きで判断を示します。

外部ツール連携を含むエージェント開発でGPT-5.6系を選ぶ判断条件

Web検索・メール・社内文書などの外部データに触れるエージェントを新規開発するなら、基盤モデルは注入耐性の実測値が公表されているGPT-5.6系を第一候補にする、というのが本記事の結論です。攻撃成功率90%超と23%未満の差は、アプリケーション側の対策だけで埋められる幅ではありません。モデル自体の構成や料金はGPT-5.6の3モデル(Sol・Terra・Luna)と新機能・料金の解説で確認できます。

一方、外部データに一切触れない閉じた用途(社内文書の要約や定型文生成など)では、注入耐性を理由とした乗り換えを急ぐ必要はないと判断します。攻撃面が狭い構成なら、コストとレイテンシを基準に旧世代や軽量モデルを選ぶ余地が残るためです。

自社で再現可能な自動レッドチーミングの範囲と導入を見送るべき場面

GPT-Red自体は使えませんが、発想の一部は自社システムの検証工程へ持ち込めます。具体的には、公開されている攻撃プロンプト集を使った回帰テストの自動化、LLMに攻撃バリエーションを生成させる敵対的テスト、外部データ経路を模したステージング環境での注入試験です。OWASPのLLM Top 10でも筆頭に挙がる脅威がプロンプトインジェクションであることを踏まえると、リリース前の1回きりではなくCIへ組み込む価値があります。

見送る判断も条件付きで示します。攻撃側モデルを自前で強化学習させる本格的なself-play環境の構築は、専用のML基盤と強化学習の運用経験を要するため、LLMを1〜2機能に組み込む規模の業務システムには過剰です。その規模なら、既製の攻撃プロンプト集と手動レッドチーミングの併用で十分に費用対効果が出ます。攻撃面を設計段階から絞り込みたい場合は、一創のAIセキュリティ対策サービスで脆弱性診断から対策実装までを相談できます。

データポイズニング・メモリポイズニングと異なる攻撃面と対策の整理

プロンプトインジェクションはLLMへの攻撃の一部にすぎません。狙われる工程が違えば対策も変わるため、代表的な攻撃面を分けて押さえておくと防御設計の抜けを減らせます。

攻撃手法 狙われる工程 対策の軸
プロンプトインジェクション 推論時の入力・外部データ 権限分離と入力検証
データポイズニング 学習データの収集・整備 データ来歴の管理
メモリポイズニング エージェントの長期記憶 記憶書き込みの検証

GPT-Redが直接カバーするのは表の1行目です。学習データを汚染するデータポイズニングの攻撃手口と防御策や、エージェントの記憶領域を狙うメモリポイズニングの脅威と対策は別系統の防御が必要になるため、エージェントを長期運用する設計では3系統を並行して点検してください。

よくある質問

GPT-Redについて、実装者からよく挙がる質問に簡潔に回答します。

GPT-RedのAPIは一般提供されていますか?

提供されていません。GPT-Redは攻撃能力を意図的に訓練した社内専用モデルで、OpenAIはリリース予定がないことを明言しています(2026年7月時点)。デプロイされる製品系モデルとも分離して管理されており、利用者はGPT-Redを直接使うのではなく、訓練成果が反映されたGPT-5.6系モデルの耐性という形で恩恵を受けます。

GPT-Redはどのように攻撃手法を学習しますか?

自己対戦型の強化学習で学習します。攻撃側のGPT-Redが防御側のGPTモデルへプロンプトを送り、応答を見ながら攻撃を組み替え、成功した攻撃は防御側の訓練データに回される仕組みです。訓練にはWeb閲覧・メール読み取り・コード編集を模した「training dojo」という模擬環境が使われ、実際のエージェントが攻撃を受ける経路に近い条件で攻防を繰り返します。

GPT-5.6を使えばプロンプトインジェクション対策は不要になりますか?

不要にはなりません。公表値でもGPT-5.6への攻撃成功率は23%未満、fake chain of thought攻撃で10%未満と、ゼロではない水準です。マルチターン攻撃や画像経由の注入への弱さも残ります。ツール実行の最小権限化、外部データの分離、出力の検証といったアプリケーション側の防御は、基盤モデルの耐性向上後も同じ比重で組み込んでください。

自社開発のLLMシステムにもレッドチーミングは必要ですか?

外部データやツール実行に触れる構成なら必要です。とくにWeb閲覧・メール処理・RAGのように第三者が内容を仕込める経路を持つ場合、間接プロンプトインジェクションは現実的な脅威になります。攻撃プロンプト集による自動回帰テストから始め、リリース前だけでなく変更のたびに回す運用にすると、GPT-Redが示した継続的な堅牢化の考え方を小規模でも再現できます。

fake chain of thought攻撃とはどのような手口ですか?

モデルの思考過程に、検証済みであるかのように装った偽の推論ステップを挿入し、誤った前提で動作させる攻撃クラスです。人間の研究者より先にGPT-Redが独自に発見しました。GPT-5.1では95%の成功率が報告されましたが、対策訓練後のGPT-5.6では10%未満に抑えられています。推論過程へ外部から文字列を注入できる構成を避けることが実装側の防御になります。

関連記事

資料請求

RELATED POSTS 関連記事