OpenAI beschreibt GPT-Red als starkes Red-Teaming-Modell und erklärt zugleich, dass frühere eigene Modelle für dessen Prompt-Injection-Angriffe sehr anfällig gewesen seien. Das Unternehmen setzt das System nach eigener Aussage direkt im Trainingsprozess seiner Produktionsmodelle ein. Dadurch sei GPT-5.6 Sol bislang das robusteste Modell des Unternehmens gegenüber Prompt Injections und verzeichne im Vergleich zu GPT-5.5, dem Frontier-Modell von vier Monaten zuvor, sechsmal weniger Fehlschläge im Benchmark für direkte Prompt Injections.
Technisch orientiert sich GPT-Red laut OpenAI an der Arbeitsweise menschlicher Red-Teamer. Das Modell verfolgt ein Ziel, verschickt dazu Eingaben, beobachtet die Reaktionen der GPT-Modelle und variiert seine Angriffe iterativ. Trainiert wird es laut OpenAI per Selbstspiel-Verstärkungslernen: GPT-Red und eine Sammlung verschiedener verteidigender LLMs werden gleichzeitig auf einer breiten Menge von Red-Teaming-Szenarien trainiert. GPT-Red erhält Belohnungen für gültige Fehlschläge wie eine erfolgreiche Prompt Injection, während die Verteidigermodelle dafür belohnt werden, einen Angriff abzuwehren und ihre ursprünglichen Aufgaben zu erfüllen.
OpenAI betont, dass sich damit ein Wettrüsten im Kleinen ergibt: Werden die Verteidigermodelle robuster, muss GPT-Red neue und wirksamere Angriffsmethoden finden, um diese Schutzmechanismen zu überwinden. Nach Angaben des Unternehmens erzeugte GPT-Red bei indirekten Prompt Injections gegen GPT-5.1 in mehr Szenarien erfolgreiche Angriffe als menschliche Red-Teamer.
Zu den Praxisbeispielen zählt ein Test mit einem KI-basierten Verkaufsautomaten von Andon Labs. Nach einem Training in einer Simulation griff GPT-Red den autonomen Agenten an und erreichte laut OpenAI alle drei Ziele: den Preis eines teuren Artikels auf den niedrigsten zulässigen Preis von 0,50 US-Dollar zu senken, einen neuen 100-US-Dollar-Artikel für denselben Betrag zu bestellen und die Bestellung eines anderen Kunden zu stornieren. Nach einer verantwortungsvollen Offenlegung würden nun neue Schutzmaßnahmen getestet.
Ein zweiter Fall betraf einen Codex-Kommandozeilenagenten auf Basis von GPT-5.4 mini. OpenAI setzte GPT-Red gegen zehn zurückgehaltene Aufgaben zur Datenexfiltration ein. Dabei wurden sensible Daten in mehr Fällen übertragen als bei einer Vergleichsbasis mit per Prompt gesteuertem GPT-5.5.
Eine frühe Version von GPT-Red entdeckte laut OpenAI außerdem eine neue Klasse direkter Prompt-Injection-Angriffe, die als Fake-Chain-of-Thought-Angriffe bezeichnet wird. Diese Angriffe erzielten bei GPT-5.1 Erfolgsraten von über 95 Prozent, lägen bei GPT-5.6 Sol aber inzwischen unter 10 Prozent. Auch mehrere indirekte Prompt-Injection-Benchmarks, die auf Angriffe in Entwicklerwerkzeugen und beim Browsing zielen, seien mit dem neuesten Modell laut OpenAI gesättigt und erreichten mehr als 97 Prozent Genauigkeit. Auf einer breiten Menge von Robustheitsumgebungen sei zudem die Erfolgsquote von GPT-Red im Zeitverlauf stetig gesunken; bei der neuesten Modellveröffentlichung scheitere GPT-5.6 Sol nur noch bei 0,05 Prozent der direkten Prompt-Injections von GPT-Red.
OpenAI hebt zugleich hervor, dass GPT-Red von den anderen Modellen getrennt gehalten werde, damit die darin aufgebauten bösartigen Fähigkeiten nicht bei Akteuren landen, die ethische und sicherheitsbezogene Schutzmaßnahmen von Modellen umgehen wollen. Parallel dazu teilte das Unternehmen mit, dass eine Prüfung von SWE-Bench Pro ergeben habe, dass rund 30 Prozent der Aufgaben fehlerhaft seien. OpenAI zog deshalb seine frühere Empfehlung zurück, den Benchmark zur Messung fortgeschrittener Coding-Fähigkeiten einzusetzen. Zuvor hatte das Unternehmen bereits erklärt, sich wegen grundlegender Design- und Kontaminationsprobleme von SWE-bench Verified abzuwenden. Laut OpenAI markierte die eigene Analysepipeline 200 Aufgaben beziehungsweise 27,4 Prozent als fehlerhaft, während eine menschliche Annotationskampagne 249 Aufgaben beziehungsweise 34,1 Prozent identifizierte.
