OpenAI は 2026 年 7 月 16 日、自社の AI モデルに対するサイバー攻撃を自動で検出・検証するシステム「 GPT-Red 」を発表しました。これは、 AI が処理する Web ページやメール、外部ツールの出力などに悪意ある命令を紛れ込ませる「プロンプトインジェクション」と呼ばれる攻撃手法への対策を目的としたものです。従来は専門家チームが手作業でテストを行ってきましたが、 AI の高度化に伴い人力での対応が追いつかなくなってきたことが開発の背景にあります。
GPT-Red の仕組みは、 AI 同士が攻撃側と防御側に分かれて繰り返し対戦し、互いの弱点を突き合うことで精度を高めていくものです。一つの攻撃パターンを見つけるだけでなく、その応用形を徹底的に探り、より効果的な手口を自動で見つけ出します。この開発に OpenAI は 70 万 GPU 時間以上という膨大な計算資源を投じました。
実際の効果も数字に表れています。 GPT-5.1 を標的にしたテストでは、 GPT-Red が 84 %のシナリオで攻撃に成功した一方、人間の専門家チームが同じ条件で試みた場合の成功率は 13 %にとどまりました。また、 GPT-Red が生み出した最も強力な攻撃手法は、旧モデルの GPT-5 には 90 %超の確率で通用していたものの、最新の GPT-5.6 ではその成功率が 23 %未満に抑えられています。
さらに GPT-Red は、これまで知られていなかった新たな攻撃手法「偽思考連鎖(フェイク・チェーン・オブ・ソート)」を自力で発見しました。 AI が内部で行う推論の記録に虚偽の情報を紛れ込ませ、誤った前提を正しいと信じ込ませる巧妙な手口です。 GPT-5.1 への成功率は 95 %超に達していましたが、 GPT-5.6 では 10 %未満まで抑制されています。
実際のシステムへの攻撃テストも実施されました。 AI を搭載した自動販売機システム( Vendy )に対しては、 100 ドル(約 1 万 5,000 円)の商品の価格を 0.50 ドル(約 75 円)に書き換えて注文するという操作をすべて成功させており、現実の業務システムにおけるリスクを改めて示す結果となりました。
OpenAI は GPT-Red を社内専用ツールとして運用し、外部への公開は行わない方針です。共同開発者の Dylan Hunn 氏は「次世代モデルが登場した際にも、すぐ新たな攻撃への対応を始められる体制が整っている」と語っており、 AI の安全性確保に向けた継続的な取り組みとして位置づけられています。一方で、想定外のリスクを見抜く判断は依然として人間の専門家に依存する部分が大きく、自動化と人的関与の両輪で安全性を担保していく姿勢も強調されています。
