Hitech logo

Кейсы

OpenAI представила ИИ-хакера GPT-Red для взлома своих же систем

TODO:
Екатерина ШемякинскаяСегодня, 02:18 PM

OpenAI анонсировала GPT-Red — специализированную автономную модель для автоматизированного тестирования безопасности (red-teaming) языковых моделей. Релиз призван решить критическую проблему отрасли: системы ИИ развиваются быстрее, чем эксперты успевают их проверять вручную. Новая разработка позволяет автоматизировать поиск уязвимостей и устранять их до публичного развёртывания. Способности GPT-Red подтвердились и в реальном мире — ИИ-хакер взломал торговый автомат в офисе OpenAI. В одном из ключевых испытаний 84% атак модели оказались успешны, тогда как специалисты добились успеха лишь в 13% попыток.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

ИИ-агенты взаимодействуют со сторонними данными через веб-браузеры, локальные файлы и подключенные приложения. Это расширяет возможности систем, но одновременно открывает двери для киберпреступников, способных внедрить вредоносные инструкции в обычное электронное письмо или код — так называемые косвенные инъекции подсказок (Indirect Prompt Injections). Ручные проверки безопасности слишком медленные и не дают достаточно данных для обучения моделей, которые должны противостоять атакам.

Методология обучения GPT-Red построена на принципе состязательного самообучения с подкреплением. Модель-атакующий и группа моделей-защитников обучались одновременно в тысячах смоделированных сценариев. GPT-Red получал вознаграждение за успешный взлом или инъекцию подсказок, а защитники — за отражение атаки и корректное выполнение исходных задач пользователя. На этот процесс OpenAI выделила огромный объем вычислительных ресурсов, сопоставимый с масштабами крупнейших запусков флагманских моделей компании.

Результаты испытаний показали, что GPT-Red — сильный атакующий инструмент, способный обойти защиту большинства существующих систем. В бенчмарке, воссоздающем косвенные инъекции, модель успешно реализовала атаки в 84% тестовых сценариев, в то время как профессиональные ИИ-исследователи добились успеха лишь в 13% попыток. Инструмент продемонстрировал высокую эффективность при проведении сложных кибератак, таких как кража учетных данных AWS, обход двухфакторной аутентификации и эксфильтрация данных.

Помимо виртуальных тестов, ИИ-хакер атаковал физический торговый автомат в офисе OpenAI, управляемый автономным агентом «Венди». Обладая неполными знаниями о системе, GPT-Red сначала провел серию симуляций, а затем перенес атаку на работающий автомат. Модель достигла трех вредоносных целей: снизила цену дорогого товара до минимума в $0,50$, заказала девайс стоимостью более $100 по той же минимальной цене и аннулировала заказ реального клиента.

Главная цель разработки GPT-Red заключается не в создании инструмента для взлома, а в повышении надежности будущих моделей OpenAI. Систему интегрировали в процесс обучения новейшей модели GPT-5.6 Sol. В результате GPT-5.6 стала самой устойчивой к кибератакам нейросетью компании. Количество ошибок при прямых инъекциях вредоносного кода снизилось в шесть раз по сравнению с флагманским решением четырехмесячной давности (GPT-5.4), а успешность атак типа «поддельная цепочка мыслей» упала с 95% до менее чем 10%. В тестах на прямые инъекции GPT-5.6 пропускает лишь 0,05% атак.

Кратное повышение безопасности было достигнуто без ущерба для производительности. Зачастую разработчики ИИ делают модели более безопасными, просто заставляя их чаще отказывать пользователям в запросах, что снижает полезность технологии. В случае с GPT-5.6 Sol все базовые возможности и навыки работы с инструментами остались нетронутыми — система научилась точечно распознавать деструктивные инструкции, не блокируя при этом легитимные запросы.