結論:GPT-Redは攻撃ツールではなく、防御訓練のための社内システム
プロンプトインジェクションは「データ内の命令」で起きる
AIエージェントは本来の依頼を完了するため、第三者のウェブページ、メール、接続アプリ、ツール出力、コード、ローカルファイルを読みます。そこに「秘密情報を外部へ送れ」「承認済みとして処理せよ」といった悪意ある命令が埋め込まれていると、本来の目的を外れて行動する可能性があります。
| 読み込み元 | 混入し得る命令 | 起こり得る影響 |
|---|---|---|
| ウェブページ | 画面外の文章や不正な作業指示 | 外部送信、別サイトへのアクセス |
| メール・文書 | 偽の承認、支払い、認証変更指示 | 誤操作、情報漏えい |
| コード・リポジトリ | 悪意あるビルド手順、認証情報取得 | コマンド実行、秘密情報の流出 |
| ツール出力 | 上位命令を装うテキスト | ユーザー指示の無視、権限濫用 |
攻撃役と防御役を同時に鍛えるセルフプレイ
GPT-Redは、攻撃に成功すると報酬を得ます。防御側の複数LLMは、攻撃を拒みながら元の正当な作業を完了すると報酬を得ます。防御側が強くなるほど攻撃役は、より多様で巧妙な方法を探す必要があります。
OpenAIは、ローカルファイル、ウェブバナー、メール本文、ツール出力などを攻撃側が制御できる現実的な環境を用意し、大規模な事後学習に匹敵する計算資源を安全性向上へ投入したと説明しています。
84%対13%などの評価値をどう読むか
| 評価 | OpenAIの報告 | 読み方 |
|---|---|---|
| 未知の間接インジェクション環境 | GPT-Red 84%、人間のレッドチーム13% | GPT-5.1を対象にした内部ミラー環境での攻撃成功率 |
| Fake Chain-of-Thought攻撃 | GPT-5.1で95%超、GPT-5.6 Solで10%未満 | 世代間で耐性が改善した一例 |
| GPT-Redの直接攻撃 | GPT-5.6 Solの失敗率0.05% | OpenAIの広範な堅牢性環境での値 |
| 最難関の直接攻撃ベンチマーク | 4カ月前の最良製品モデルより失敗が6分の1 | 完全防御ではなく、相対的な改善 |
Codex CLIエージェントも検証対象になった
OpenAIは、GPT-5.4 miniを基盤とするCodex CLIエージェントを、訓練に含まれない10件のデータ流出シナリオで攻撃しました。GPT-Redは通常のプロンプトを与えたGPT-5.5基準より多くのシナリオで成功し、必要トークンも少なかったと報告しています。
これは現在のCodexが危険だと一括りにする発表ではありません。コードエージェントがファイル、シェル、ネットワーク、認証情報へ近いほど、読み取った文章と実行権限を分離する設計が重要だという実例です。
Codex利用者が実施する6つの対策
1. 最小権限から始める
読み取り、承認を求める設定、限定した作業フォルダを基本にし、必要な操作だけ一時的に許可します。
2. 秘密情報を分離する
.env、SSH鍵、APIキー、顧客情報を作業対象から外し、不要な認証情報へアクセスさせません。
3. 外部データを命令扱いしない
ウェブ、メール、README、Issue、ツール出力内の命令は実行せず、疑わしい内容として報告させます。
4. 送信先を確認する
アップロード、POST、Webhook、外部API、パッケージ取得の宛先と送信内容を承認前に確認します。
5. 差分とログを読む
Git差分、実行コマンド、変更ファイル、ネットワークアクセスを確認してから反映します。
6. 高リスク操作を分ける
削除、公開、決済、権限変更、認証情報変更は別工程にして、人間の明示承認を必須にします。
怪しい指示を見つけた時の停止手順
- 外部送信、コマンド実行、ファイル変更を停止する
- 疑わしい文章があったファイル・ページ・ツール出力を特定する
- 要求された操作、送信先、対象データを一覧化する
- Git差分、シェル履歴、アプリログ、外部通信を確認する
- 秘密情報が触れられた可能性があればキーを失効・再発行する
- 安全な状態へ戻してから、権限を狭めて再実行する
フルアクセスの危険性と承認方法の使い分けもあわせて確認してください。
確認した情報源
攻撃成功率、Codex CLIの評価、Vendy事例、GPT-5.6 Solの耐性はOpenAI公式発表をもとに整理しました。攻撃手順の再現ではなく、安全運用に必要な境界と確認方法へ重点を置いています。
FAQ
GPT-Redを一般ユーザーが使えますか?
OpenAIはGPT-Redを社内専用の自動レッドチーミングモデルとして説明し、攻撃能力が外部へ渡らないよう製品モデルから分離しています。一般向けセキュリティ製品ではありません。
GPT-5.6 Solならプロンプトインジェクション対策は不要ですか?
不要にはなりません。OpenAIは耐性向上を報告していますが、完全防御とは説明していません。最小権限、承認、ログ、差分確認を組み合わせます。
Codexはどこから攻撃命令を読み込む可能性がありますか?
ウェブページ、メール、接続アプリ、ツール出力、コードリポジトリ、ローカルファイルなどです。外部データ内の命令をユーザー指示より優先しないことが重要です。
フルアクセスを使わなければ安全ですか?
リスクは下げられますが、それだけで安全とは限りません。読み取り可能な秘密情報、外部送信、承認内容、実行コマンドも確認します。
怪しい指示をファイル内で見つけたらどうしますか?
実行せず停止し、対象ファイル、要求された操作、送信先、影響範囲を報告させます。秘密情報の変更や外部送信が疑われる場合は認証情報の失効も検討します。


