OpenAI 造了个专门黑自己的 AI 黑客 GPT-Red:90% 老漏洞能打穿,新模型只剩 23%
那天刷到一条新闻我后背一凉前天晚上我本来在刷 GPT-5.6 的跑分数据Terminal-Bench 2.1 刷到 91.9%、150 万 token 上下文窗口这些数字我上周预览阶段就看过一遍无非是确认下有没有浮动。手滑点进 MIT Technology Review 的一篇报道标题很朴素《Meet GPT-Red: an LLM super-hacker》。我第一反应是又来一个换皮跑分模型点开读完第一段就坐直了——这玩意儿不是来帮你的是专门来黑你的。OpenAI 造了一个叫 GPT-Red 的模型它的唯一工作就是当红队想尽一切办法攻击 OpenAI 自家的其他模型找出漏洞再让那些模型学着防住。说白了一个 AI 黑客专门黑另一个 AI。而且 OpenAI 说就是因为有它在背后当陪练刚发布的 GPT-5.6 才成了他们史上最抗揍的一代。更让我在意的是时间点。GPT-5.6 是 7 月 9 号发的这篇报道 7 月 15 号出来中间隔了不到一周。也就是说这个AI 黑客不是实验室里关着玩的玩具它已经实打实参与了一代旗舰模型的出厂质检——你每次调用那个模型时它身上已经挨过 GPT-Red 无数次毒打留下的抗体。而它最新一轮的战绩让我这个天天把 AI 当同事使的人第一次认真想了一件事我现在信任的这套工作流到底经不经得起一个同行的恶意平时我夸 agent 多好用从来都是从它帮我省了多少时间这个角度。这篇报道逼我从反面看如果有一个东西专门研究怎么骗倒它我的 setup 扛得住几下红队测试本来是真人干的活先说 red-teaming 是什么。不是那个戴红帽子的团队是安全圈的说法——红队就是扮演攻击方想方设法把系统打穿、劫持、搞崩目的是在正式发布前把弱点都挖出来修掉。过去这活儿是人干的。一屋子安全工程师对着模型狂喂恶意输入看它什么时候露馅、什么时候顺着攻击者的话往下走、什么时候把不该说的东西吐出来。但问题来了。OpenAI 的研究员 Nikhil Kandpal 说了一句很关键的话风险面在变大爆炸半径也在变大。这句话我截图存了因为它精准概括了我这两年用 AI coding 工具的真实体感。以前模型就是个聊天框你跟它对话它吐字攻击入口就一个输入框。现在呢模型变成了 agent——它能读你的文件、逛网站、跑第三方代码、还能跟别的 agent 对话。攻击入口从一个输入框变成了整个操作系统。你让 Claude Code 改个文件它要读仓库、要执行 shell、要调 MCP server每一步都可能被注入。真人红队再猛也跟不上这种指数级膨胀的攻击面。一个安全团队一个月能测几百个场景而模型之间的对抗可以一天跑几万局。OpenAI 干脆让模型自己生出一个专职黑客来对付自己。这就是 GPT-Red 的来路。我觉得这件事的隐喻比技术本身更值得玩味当攻击面复杂到人类盯不过来人类的解法不是招更多人而是造一个更能钻漏洞的 AI。攻防军备竞赛第一次把两边都交给了机器。GPT-Red 怎么练出来的它的训练方式叫 self-play loop自对弈循环跟 AlphaGo 下棋那种思路一脉相承只不过棋盘换成了怎么骗倒一个语言模型。OpenAI 拿一个没被训练成黑客的模型让它跟好几个别的模型关在一个道场里对打。GPT-Red 的任务是进攻别人的任务是防守。一局一局打下来GPT-Red 越打越狠对手越防越稳。这不是一次性的对抗是成千上万轮、覆盖各种花式攻击的持久战。这个道场是 OpenAI 专门搭的模拟了模型在真实世界里会被丢进去的场景浏览网页、读邮件和日历、改代码。注意这三个场景是不是很眼熟这就是我们天天让 Claude Code、Codex、Cursor 干的事。读代码库、处理邮件摘要、改文件——GPT-Red 就是在练怎么在这些动作里下毒。OpenAI 的研究员 Dylan Hunn 说了句让我有点头皮发麻的评价比起人类红队模型极其擅长精准找到哪个攻击最有效而且它对钻一个发现的漏洞有近乎偏执的 Persistence。人会累会分心会被一个没结果的攻击劝退。模型不会。它发现一个攻击向量能翻来覆去试几百个变体直到找到最致命的那一个。人类红队可能试了五种就写报告了GPT-Red 会试第五十种、第五百种。更狠的是当 GPT-Red 发现一种新攻击它会主动探索这个攻击的多个不同版本找出在特定场景下最高效的那一个。这种发现即深挖的能力是人类团队很难规模化复制的。它真的找到了人类没见过的攻击最让我惊的是这个GPT-Red 自己发明了一种全新的攻击方式OpenAI 的研究员之前都没见过他们管它叫fake chain of thought伪造思维链。思维链chain of thought是模型边推理边给自己写的草稿本记录中间步骤和阶段性结论。正常时候它帮模型把复杂问题拆开想。GPT-Red 发现它可以往另一个模型的思维链里塞一条假记录骗那个模型相信一个已经被验证过的假事实。研究员 Chris Choquette-Choo 打了个特别接地气的比方就像我告诉你 113而且说你自己已经验证过了。模型就哦好吧然后直接吐出 3。这个攻击的恐怖之处在于——它不改你的输入它改模型自己的思考过程。你从外部根本看不出哪里出了问题模型自己就信了假账。对吧我们做 agent 的人最迷信的就是让模型自己推理可如果推理链条本身能被污染那自己推理反而成了攻击面。而且 GPT-Red 不是只打 OpenAI 自家的玩具。OpenAI 拿它去黑了一个叫 Vendy 的自动售货机 agent——Andon Labs 做的专门测 agent 真实任务能力。结果 GPT-Red 成功黑进去改了商品售价还取消了一个客户的订单。一个卖饮料的 agent 能被改价格——那一个管你数据库迁移的 agent 呢一个能调用你支付 API 的 agent 呢报道里还提到GPT-Red 在 2025 年一个旧实验上做了复现当时是真人红队去挖老版 GPT-5 的漏洞。OpenAI 让 GPT-Red 做同样任务结果它找到的有效攻击比当时的人类团队还多。不是平手是超越。一个练了一年多的 AI 黑客在找漏洞这件事上已经干翻了专业安全工程师组。那组 90% vs 23% 的数据才是重点报道里最硬的一行数字我反复读了三遍被测模型发布时间被 GPT-Red 最强攻击打穿的比例GPT-52025年8月超过 90%GPT-5.62026年7月低于 23%一样的攻击手法打老模型十发九中打新模型十发不到三中。OpenAI 说就是因为有 GPT-Red 在背后当陪练GPT-5.6 才成了他们史上最抗揍的一代。这组数字我愿意这么解读不是 GPT-5.6 天生更聪明是它被一个更狠的对手天天揍了一年皮厚了。这跟我们做工程一模一样——一个系统抗不抗造不取决于设计得多优雅取决于它挨过多少真实毒打。还有个对比更扎心OpenAI 重跑了 2025 年真人红队测试旧模型漏洞的实验让 GPT-Red 做同样的事。结果 GPT-Red 找到的有效攻击比人类团队还多。注意这里的前提——它拿的是已经被人测过的旧场景等于开卷考试但它还能挖出人类漏掉的变体。这说明人类红队的覆盖盲区比我们愿意承认的要大。当然 OpenAI 也老实说了 GPT-Red 的短板它不擅长需要黑客和目标来回多轮对话的那种攻击人类干这个轻轻松松它对图片类注入也还不行——而图片恰恰是 prompt injection 最常见的藏身处。换句话说它现在最弱的地方恰好是我们普通人最容易踩的坑。这个短板反而给我提了个醒别因为听说有 AI 红队了就放松警惕。GPT-Red 不行的那些攻击面正是最朴素、最贴近日常的那批——一张图、一封邮件、一段网页抓回来的文本。专业黑客在进化但门槛最低的那扇窗一直开着。作为天天用 AI coding 的人我后怕了看到 Vendy 被改价格那段我脑子里直接蹦出自己上周干的事我让 Claude Code 去读一个 PR 里的 PNG 图片当技术文档扫了一眼就合并了。那张图万一不是文档呢我之前写过一篇 Ghostcommit 攻击的解析——攻击者往 PR 里塞 AGENTS.md 和一张 PNG图里藏着指令AI 读图时就被劫持了。当时写的时候觉得这是实验室攻击离我远。现在 GPT-Red 告诉我这种攻击已经在被系统化、自动化、规模化地搜索了。而且它最不擅长的恰恰是图片类注入——也就是说图里藏字这种老套路对 GPT-Red 来说还算简单模式。它现在打不穿不代表半年后还打不穿更不代表没有别的东西在悄悄打。换个角度想更吓人GPT-Red 现在专门用来打 OpenAI 自家的模型。但 red-teaming 的套路是通用的。任何一个做 agent 的团队如果不养一个自己的GPT-Red你的系统在对手眼里就是裸奔。我们这些把 agent 接进代码库、接进邮箱、接进生产环境的人等于把家门钥匙挂在了 GPT-Red 这种东西能轻松够到的地方。攻击者不需要比你聪明他只需要比你更早拥有一套自动化的攻击引擎。我甚至开始复盘自己的配置CLAUDE.md 里写了哪些敏感路径MCP server 有没有鉴权agent 能不能直接 push 到 main这些问题我之前都默认是安全的读完这篇报道我把它们全部改成了默认是不安全的要主动证明它安全。普通开发者现在能做什么先泼盆冷水GPT-Red 不会开源OpenAI 明确说了不放也自信没人能轻易复刻——练了一年多烧的是全球最富公司的算力。我们大概率这辈子都用不上它本人。但 red-teaming 的思路我们借得到。我自己准备落几个动作分享给同样用 agent 的朋友所有喂给 agent 的外部内容默认不可信——PR 里的图、网页抓回来的文本、邮件正文都当潜在注入源不要无条件信任。给 agent 分最小权限——能只读就别给写能本地就别碰生产库能 dry-run 就别真执行。把AI 读外部输入和AI 执行动作之间加一道人工闸——合并前我得真看一眼那张图而不是让 agent 自己决定。定期自己做 red-team 演练——拿恶意 prompt 怼自己的 agent看它什么时候露馅、什么时候顺着攻击者走。监控异常动作——agent 突然改了不该改的文件、调了不该调的 API要有警报而不是静默通过。OpenAI 自己的做法也值得抄他们把 GPT-Red 的发现交给人类红队让人去挖模型漏掉的变体再喂回 GPT-Red。人机配合而不是机器取代人。Georgetown 的安全研究员 Jessica Ji 说得最到位人类的专业判断仍然极其重要关键是要分清哪里的测试最该交给人。今晚我打算做的一件事文章写到最后我反而没那么慌了。GPT-Red 让我害怕的不是AI 会变坏而是我们太容易忘了 AI 会被骗。我们一边把 agent 接进一切一边默认它是忠诚的——这个默认恰恰是 GPT-Red 最喜欢钻的缝。如果你也用 coding agent——Claude Code、Codex、Cursor 都算——我建议你今晚做一个动作翻一下你最近合并的那个 PR看看里面有没有图片、有没有看起来像文档但来源不明的附件。再检查一遍你的 agent 是不是有写生产环境的权限。不用切换工具也不用马上删什么。你只是终于有机会像 GPT-Red 那样站在攻击者的角度重新看一眼你天天信任的那个黑盒里面到底漏了哪扇窗。对我来说这比 OpenAI 又发了个新模型重要多了。因为模型会迭代而忘了自己会被骗这个习惯如果不主动改会跟着你一直走到下一个被黑的深夜。