OpenAI dévoile GPT-Red, red-teamer interne à 84 % de réussite
TL;DR
- GPT-Red réussit 84 % des scénarios d'injection de prompt en interne, contre 13 % pour les red-teamers humains sur les mêmes tests.
- Plus de 90 % des attaques les plus fortes de GPT-Red passaient sur GPT-5 ; moins de 23 % réussissent contre GPT-5.6.
- GPT-5.6 Sol enregistre six fois moins d'échecs sur le benchmark d'injection directe le plus difficile qu'il y a quatre mois.
Il y a un chiffre à retenir de la dernière publication d'OpenAI sur la sécurité de ses modèles : 84 % contre 13 %. C'est le taux de réussite d'attaques par injection de prompt qu'atteint GPT-Red, leur nouveau red-teamer automatisé, contre celui des red-teamers humains sur les mêmes scénarios, selon OpenAI.
La méthode est celle du self-play par apprentissage par renforcement : GPT-Red apprend à produire des attaques de plus en plus fortes contre des modèles défenseurs qui, en retour, apprennent à s'en défendre. Chaque attaque réussie sert à durcir la défense, ce qui pousse GPT-Red à trouver des failles plus larges et plus complexes. OpenAI a ensuite intégré directement ce processus à l'entraînement de GPT-5.6, avec un résultat mesurable : GPT-5.6 Sol enregistre six fois moins d'échecs que leur meilleur modèle en production il y a quatre mois sur le benchmark d'injection directe le plus difficile. Plus concret encore, plus de 90 % des attaques les plus fortes de GPT-Red réussissaient contre GPT-5 sorti en août 2025 ; moins de 23 % passent sur GPT-5.6.
L'enjeu concerne tous les agents autonomes qui parcourent des pages, des mails ou des documents pour le compte d'un utilisateur. L'exemple donné par OpenAI est parlant : GPT-Red a réussi à manipuler un agent de distributeur automatique pour qu'il baisse ses prix, commande du stock au rabais et annule la commande d'un autre client. Il a aussi mis au jour un type d'attaque que les chercheurs n'avaient pas encore décrit, baptisé fake chain of thought, qui glisse une fausse entrée dans le raisonnement d'un autre modèle pour le pousser à agir sur des informations truquées, rapporte MIT Technology Review.
Le caveat honnête : on ne verra pas GPT-Red en dehors des murs d'OpenAI. Le laboratoire le garde en interne parce qu'il embarque, par construction, des capacités offensives. Les chiffres publiés sont ceux d'OpenAI sur ses propres évaluations, pas d'un audit indépendant, et le billet ne dit rien du coût de calcul, du protocole précis face aux humains, ni de la façon dont ces défenses tiennent face à des attaquants qui n'ont pas suivi la même distribution d'entraînement.
Le signal qui compte pour les équipes qui construisent des produits par-dessus ces API : les défenses contre l'injection de prompt viennent désormais de l'adversaire lui-même, entraîné à trouver plus vite et plus large que n'importe quelle équipe humaine. Pour les acteurs qui ne peuvent pas se payer une telle infrastructure, le fossé sur la sécurité des agents risque de se creuser aussi vite que celui sur les capacités brutes.
Article original publié par openai.com
Lire l'article original →Titre original : OpenAI dévoile GPT-Red, un red-teamer interne entraîné en self-play qui trouve 84 % des injections de prompt contre 13 % pour les humains