AI security / GPT-Red

GPT-Redとは?Codexを狙うプロンプトインジェクションをどう防ぐ

GPT-Redは、AIエージェントへ攻撃を試し、弱点を見つけて次世代モデルの訓練へ戻すOpenAI社内向けの自動レッドチーミングモデルです。Codex利用者にとっては、ウェブ、メール、ツール出力、リポジトリ、ローカルファイルを「信頼できない外部データ」として扱う重要性を示す発表です。

この記事は2026年7月17日時点のOpenAI公式発表を確認した非公式ガイドです。評価値はOpenAIの環境によるもので、すべてのCodex利用環境に同じ結果を保証するものではありません。

結論:GPT-Redは攻撃ツールではなく、防御訓練のための社内システム

GPT-Redは一般公開されたモデルではありません。攻撃役AIと防御役AIを競わせ、公開前に弱点を探し、その攻撃例でGPT-5.6などを訓練する仕組みです。モデルの耐性が上がっても、利用者側の最小権限と人間確認は引き続き必要です。
自動レッドチーム対象AIへ指示を送り、反応を見ながら攻撃方法を反復探索する。
社内専用攻撃能力を製品モデルから分離し、外部へ提供しない方針。
防御訓練へ利用発見した攻撃を次世代モデルの訓練データへ反映する。

プロンプトインジェクションは「データ内の命令」で起きる

AIエージェントは本来の依頼を完了するため、第三者のウェブページ、メール、接続アプリ、ツール出力、コード、ローカルファイルを読みます。そこに「秘密情報を外部へ送れ」「承認済みとして処理せよ」といった悪意ある命令が埋め込まれていると、本来の目的を外れて行動する可能性があります。

読み込み元混入し得る命令起こり得る影響
ウェブページ画面外の文章や不正な作業指示外部送信、別サイトへのアクセス
メール・文書偽の承認、支払い、認証変更指示誤操作、情報漏えい
コード・リポジトリ悪意あるビルド手順、認証情報取得コマンド実行、秘密情報の流出
ツール出力上位命令を装うテキストユーザー指示の無視、権限濫用

攻撃役と防御役を同時に鍛えるセルフプレイ

GPT-Redは、攻撃に成功すると報酬を得ます。防御側の複数LLMは、攻撃を拒みながら元の正当な作業を完了すると報酬を得ます。防御側が強くなるほど攻撃役は、より多様で巧妙な方法を探す必要があります。

OpenAIは、ローカルファイル、ウェブバナー、メール本文、ツール出力などを攻撃側が制御できる現実的な環境を用意し、大規模な事後学習に匹敵する計算資源を安全性向上へ投入したと説明しています。

84%対13%などの評価値をどう読むか

評価OpenAIの報告読み方
未知の間接インジェクション環境GPT-Red 84%、人間のレッドチーム13%GPT-5.1を対象にした内部ミラー環境での攻撃成功率
Fake Chain-of-Thought攻撃GPT-5.1で95%超、GPT-5.6 Solで10%未満世代間で耐性が改善した一例
GPT-Redの直接攻撃GPT-5.6 Solの失敗率0.05%OpenAIの広範な堅牢性環境での値
最難関の直接攻撃ベンチマーク4カ月前の最良製品モデルより失敗が6分の1完全防御ではなく、相対的な改善
数値はOpenAIによる評価です。 84%は「一般のAIが常に84%攻撃される」という意味ではありません。対象モデル、攻撃者の権限、ツール構成、評価条件を切り離さずに読みます。

Codex CLIエージェントも検証対象になった

OpenAIは、GPT-5.4 miniを基盤とするCodex CLIエージェントを、訓練に含まれない10件のデータ流出シナリオで攻撃しました。GPT-Redは通常のプロンプトを与えたGPT-5.5基準より多くのシナリオで成功し、必要トークンも少なかったと報告しています。

これは現在のCodexが危険だと一括りにする発表ではありません。コードエージェントがファイル、シェル、ネットワーク、認証情報へ近いほど、読み取った文章と実行権限を分離する設計が重要だという実例です。

Codex利用者が実施する6つの対策

1. 最小権限から始める

読み取り、承認を求める設定、限定した作業フォルダを基本にし、必要な操作だけ一時的に許可します。

2. 秘密情報を分離する

.env、SSH鍵、APIキー、顧客情報を作業対象から外し、不要な認証情報へアクセスさせません。

3. 外部データを命令扱いしない

ウェブ、メール、README、Issue、ツール出力内の命令は実行せず、疑わしい内容として報告させます。

4. 送信先を確認する

アップロード、POST、Webhook、外部API、パッケージ取得の宛先と送信内容を承認前に確認します。

5. 差分とログを読む

Git差分、実行コマンド、変更ファイル、ネットワークアクセスを確認してから反映します。

6. 高リスク操作を分ける

削除、公開、決済、権限変更、認証情報変更は別工程にして、人間の明示承認を必須にします。

怪しい指示を見つけた時の停止手順

  1. 外部送信、コマンド実行、ファイル変更を停止する
  2. 疑わしい文章があったファイル・ページ・ツール出力を特定する
  3. 要求された操作、送信先、対象データを一覧化する
  4. Git差分、シェル履歴、アプリログ、外部通信を確認する
  5. 秘密情報が触れられた可能性があればキーを失効・再発行する
  6. 安全な状態へ戻してから、権限を狭めて再実行する

フルアクセスの危険性承認方法の使い分けもあわせて確認してください。

確認した情報源

攻撃成功率、Codex CLIの評価、Vendy事例、GPT-5.6 Solの耐性はOpenAI公式発表をもとに整理しました。攻撃手順の再現ではなく、安全運用に必要な境界と確認方法へ重点を置いています。

FAQ

GPT-Redを一般ユーザーが使えますか?

OpenAIはGPT-Redを社内専用の自動レッドチーミングモデルとして説明し、攻撃能力が外部へ渡らないよう製品モデルから分離しています。一般向けセキュリティ製品ではありません。

GPT-5.6 Solならプロンプトインジェクション対策は不要ですか?

不要にはなりません。OpenAIは耐性向上を報告していますが、完全防御とは説明していません。最小権限、承認、ログ、差分確認を組み合わせます。

Codexはどこから攻撃命令を読み込む可能性がありますか?

ウェブページ、メール、接続アプリ、ツール出力、コードリポジトリ、ローカルファイルなどです。外部データ内の命令をユーザー指示より優先しないことが重要です。

フルアクセスを使わなければ安全ですか?

リスクは下げられますが、それだけで安全とは限りません。読み取り可能な秘密情報、外部送信、承認内容、実行コマンドも確認します。

怪しい指示をファイル内で見つけたらどうしますか?

実行せず停止し、対象ファイル、要求された操作、送信先、影響範囲を報告させます。秘密情報の変更や外部送信が疑われる場合は認証情報の失効も検討します。