Компания OpenAI представила GPT-Red – модель, обученную взламывать другие нейросети, что позволило значительно повысить безопасность GPT-5.6.
Гонка вооружений в мире искусственного интеллекта перешла на новый уровень. Пока мы обсуждаем, заменит ли нейросеть дизайнера или программиста, внутри лабораторий уже идет совершенно другая война: модели учатся взламывать друг друга. И одна из них теперь делает это лучше, чем любой человек.
OpenAI, компания, подарившая миру ChatGPT, недавно выпустила обновлённую версию своего флагманского LLM — GPT-5.6. Но настоящая сенсация не в этом. Главное — как именно они добились рекордной защищённости. В ход пошёл инструмент, который раньше казался фантастикой: собственный ИИ-взломщик, обученный находить уязвимости в других нейросетях. И он работает.
GPT-5.6: Защита от новейших кибератак
OpenAI создала супер-хакера. Его зовут GPT-Red, и он не просто тестирует нейросети на прочность — он ищет их слабые места методично, с упорством машины, которой не нужен сон. Компания готовила его как спарринг-партнёра для собственных моделей, и уже есть первые плоды: последняя версия GPT 5.6 официально признана самой защищённой в истории OpenAI. Весь секрет в том, что тренировали её против этого самого цифрового взломщика. Сам подход к безопасности раньше выглядел иначе: нанимали команду людей-хакеров, которые вручную пытались сломать систему, находили дыры, а разработчики их латали. Но с ростом сложности LLM и появлением агентов — автономных помощников, которые работают с файлами, сайтами, чужим кодом и другими агентами — ручной труд перестал поспевать за новыми угрозами. «Поверхность риска растёт, и радиус поражения тоже увеличивается», — объясняет Никхил Кандал, исследователь из OpenAI и один из создателей GPT-Red. В итоге инженеры пошли другим путём: взяли обычный LLM, который не умел взламывать, и запустили его в так называемом self-play loop — цикле самообучения. GPT-Red атаковал другие модели, те защищались. Раунд за раундом хакер становился всё изощрённее, а жертвы — устойчивее. Всё это происходило в специальном «додзё»: OpenAI симулировала реальные сценарии — чтение почты, просмотр календаря, редактирование кода, сёрфинг в сети. И результаты не заставили себя ждать. GPT-Red не просто повторял известные приёмы — он открыл новый тип атаки, который раньше не встречался. Его назвали fake chain of thought (ложная цепочка рассуждений). Суть в том, что LLM во время работы ведёт нечто вроде дневника: записывает промежуточные шаги. Хакер научился подсовывать в эту цепочку фальшивую запись, и модель, доверяя собственным записям, принимала ложную информацию за чистую монету. «Это как если бы я сказал вам, что 1+1=3 и вы уже это проверили, — поясняет Крис Шоке-Шу, ещё один участник команды. — Модель просто отвечает: "А, ну ладно, конечно", и выдаёт 3». Компания проверила боевую эффективность GPT-Red: когда повторили эксперимент 2025 года, где люди пытались взломать более раннюю версию GPT-5, супер-хакер справился успешнее, чем живые тестировщики. В отдельном тесте с агентом Vendy (разработка Andon Labs) GPT-Red сумел изменить цены на товары и отменить заказ клиента — и это не лабораторный трюк, а вполне реальный вектор атаки. Особенно впечатляет цифры: самые сильные удары, которые GPT-Red применял против старых моделей, в 90% случаев проходили на GPT-5 (августовский релиз). А на новой GPT 5.6 сработало меньше 23%. То есть заслон подняли в четыре раза. Впрочем, без слабых мест не обошлось. GPT-Red пока плохо ведёт диалоговые атаки — те, где нужно задавать наводящие вопросы и втягивать жертву в обмен репликами. Человек с таким справится без труда. Также не очень хорошо он использует изображения (через картинки можно передавать скрытый текст). Поэтому компания не увольняет людей: человеческий опыт остаётся критически важным. «Было бы очень полезно понимать, где ручное тестирование нужно больше всего», — замечает Джессика Джи из Центра безопасности и новых технологий Джорджтаунского университета. Само собой, выкладывать GPT-Red в открытый доступ никто не собирается. OpenAI уверена: даже если кто-то попытается скопировать идею, повторить успех нереально. Слишком много времени (больше года работы) и вычислительных ресурсов одной из богатейших компаний мира вложено в этого неутомимого хакера. «Это не та вещь, которую можно просто взять и сделать, знаете ли — пойти и обучить супер-атакующего по этой идее», — заключает Шоке-Шу.Метод тренировки: самообучающаяся игра с GPT-Red
Сама механика тренировки GPT-Red больше напоминает подготовку спецагента, чем обычное машинное обучение. Вместо того чтобы просто скормить модели базу известных уязвимостей, инженеры OpenAI запустили её в бесконечный цикл самоподкрепления — self-play loop. Суть простая: один LLM (GPT-Red) пытается взломать другую модель, а та — защититься. Раунд за раундом, без продыху. И так до тех пор, пока атакующий не начинает видеть бреши там, где обычный глаз их не заметит. Всё это происходило не в вакууме, а в специально сконструированном «додзё» — среде, которая копирует реальные сценарии использования нейросетей. GPT-Red учился атаковать модели, которые листают веб-страницы, читают письма, управляют календарём, правят код. Каждый такой сценарий — отдельный полигон. И самое ценное: когда GPT-Red находил новый способ взлома, он не останавливался на одном варианте. Исследователи говорят, что хакер перебирал десятки модификаций одной и той же атаки, выискивая самую эффективную для конкретных условий. Человек бы на это убил часы, а то и дни. Именно в этом додзё, в ходе бесконечных циклов self-play, родилась атака, которая обнажила самую душу — soul — модели gpt 5 6: поддельная цепочка рассуждений, или fake chain of thought. Чтобы понять её суть, нужно знать, что современные LLM во время решения задач ведут что-то вроде внутреннего дневника — записывают промежуточные шаги. GPT-Red научился подсовывать в этот дневник фальшивую запись. Модель, доверяя собственным заметкам, принимает подделку за истину и действует соответственно. Крис Чокет-Шу, один из исследователей команды, объясняет это так: «Это как если бы я сказал вам, что 1+1=3 и вы уже это проверили. Модель просто отвечает: "А, ну ладно, конечно", и выдаёт 3». Звучит почти комично, но на практике такая атака может заставить агента выполнить опасную команду — отправить конфиденциальные данные или изменить код. Джессика Цзи, старший аналитик Центра безопасности и новых технологий Джорджтаунского университета (CSET), оценила такой подход положительно. Она назвала self-play loop «очень многообещающим» и отметила, что результаты выглядят впечатляюще. И действительно: когда GPT-Red бросили на те же задачи, что решали люди в 2025 году, он нашёл больше эффективных атак, чем живые хакеры. Важно подчеркнуть, что этот метод позволил не просто автоматизировать red-teaming, но и выявить принципиально новые векторы угроз. Fake chain of thought — не единственное открытие GPT-Red, но самое яркое. Оно показало, что модели уязвимы не только на входе (через промпты), но и внутри собственных когнитивных процессов. А это значит, что защита должна становиться глубже — на уровне самого мышления нейросети.Практические результаты и ограничения
OpenAI решила проверить, насколько её супер-хакер действительно опаснее человека. Взяли эксперимент 2025 года, где живые краш-тестеры искали уязвимости в старой версии GPT-5. Поставили GPT-Red те же задачи — и он нашёл больше эффективных атак. Потом дали задание повзламывать агента Vendy (торговый автомат от Andon Labs). Результат? Хакер изменил цены на товары и отменил заказ клиента. Это не симуляция, а реальный взлом.
Особенно показательны цифры. Сильнейшие атаки GPT-Red против GPT-5 (релиз августа прошлого года) срабатывали в 90% случаев. А против новой GPT-5.6 — меньше чем в 23%. Защита выросла в разы. «С выходом GPT 5.6, — отмечают в полимаркете, — рынок прогнозов по устойчивости моделей резко изменился».
Но без слабых мест не обошлось. GPT-Red плохо справляется с многоходовыми диалогами — теми самыми разговорами, где хакер задаёт наводящие вопросы и постепенно подводит жертву к нужному ответу. Человеку это раз плюнуть. Ещё хуже у него с изображениями: через картинки можно передавать скрытый текст для атаки, а GPT-Red это пока даётся тяжело. Поэтому OpenAI не сворачивает команду людей-тестировщиков, а наоборот, использует супер-хакера как дополнение. Например, дают GPT-Red атаку, найденную человеком, и просят перебрать все возможные вариации. «Я думаю, человеческий опыт всё ещё очень важен, — комментирует Джессика Цзи из CSET. — Было бы полезно понимать, где ручное тестирование нужно больше всего».
Естественно, выкладывать такой инструмент в открытый доступ никто не собирается. OpenAI уверена: даже если кто-то попытается скопировать идею, повторить успех нереально. Слишком много времени (больше года работы) и вычислительных ресурсов одной из богатейших компаний мира вложено в этого неутомимого хакера. «Это не та вещь, которую можно просто взять и сделать, знаете ли — пойти и обучить супер-атакующего по этой идее», — заключает Крис Чокет-Шу.
Важно понимать: GPT-Red — это не разовая акция. OpenAI встроила процесс самообучения непосредственно в цикл разработки. С каждым новым поколением моделей хакер будет становиться умнее, а защита — крепче. И хотя до полной неуязвимости ещё далеко (те самые диалоговые атаки и картинки остаются ахиллесовой пятой), направление выбрано верно. В мире, где ИИ-агенты уже управляют календарём, редактируют код и совершают покупки, иметь такого внутреннего «красного командира» — не роскошь, а необходимость. Вопрос лишь в том, кто первым научит свою модель защищаться от чужого взломщика.