OpenAI, öncü yapay zeka modellerindeki prompt injection zafiyetlerini otomatik olarak tespit etmek ve bu saldırıları savunma eğitim verisine dönüştürmek için GPT-Red adlı dahili bir kırmızı takım modeli geliştirdiğini duyurdu. Şirket, insan kırmızı takımının önemli güvenlik açıklarını bulabildiğini ancak model eğitimi için gereken hacim ve çeşitlilikte adversarial örnek üretmekte zorlandığını belirtti.

GPT-Red, e-posta, web sayfası, yerel dosya ve araç çıktısı gibi senaryolarda savunucu modellere karşı eğitildi. Her ortam, GPT-Red'in neleri manipüle edebileceğini ve başarılı bir sızma olarak neyin sayılacağını tanımladı. Kendi kendine oyun takviyeli öğrenme (self-play reinforcement learning) adı verilen bir teknikle GPT-Red, saldırıları test etti, savunucuların yanıtlarını gözlemledi ve stratejisini buna göre ayarladı. Başarılı sızmalar ödüllendirilirken, savunucular saldırılara direnme ve kullanıcının görevini tamamlama karşılığında ödül aldı. Bu süreç, GPT-Red'i savunmalar güçlendikçe daha güçlü veya çeşitli saldırılar geliştirmeye zorladı.

OpenAI, GPT-Red'i eğitmek için en büyük eğitim sonrası (post-training) çalışmalarından bazılarıyla karşılaştırılabilir düzeyde bilgi işlem kaynağı kullandı ve bu yatırımı "benzeri görülmemiş" olarak nitelendirdi. Şirket, GPT-Red'in eğitim sırasında karşılaştığı neredeyse tüm dahili ve üretim modellerini (GPT-5.5 dahil) tehlikeye attığını bildirdi. Ayrı bir karşılaştırmada OpenAI, GPT-5.1 kullanarak mevcut bir dolaylı prompt injection testini tekrarladı ve GPT-Red'in senaryoların %84'ünde başarılı olduğunu, insan kırmızı takımının ise %13'ünde başarılı olduğunu buldu.

OpenAI, GPT-Red'in bağlı araçlar aracılığıyla eylem gerçekleştirebilen ajanları sömürüp sömüremeyeceğini de test etti. Bir deneyde, bir otomat yönetim ajanını manipüle ederek mevcut pahalı bir ürünün fiyatını 50 sente düşürdü, 100 doların üzerinde değere sahip yeni bir ürün sipariş edip 50 sente listeledi ve başka bir müşterinin siparişini iptal etti. OpenAI, güvenlik açıklarını bildirdiğini ve şu anda koruma önlemlerini test ettiğini söyledi.

OpenAI, GPT-Red'den elde edilen saldırıları yalnızca değerlendirme için değil, aynı zamanda eğitim için de kullandı. Bunları, 9 Temmuz 2026'da sınırlı bir ön izlemenin ardından genel kullanıma sunulan GPT-5.6 ailesinin eğitimine dahil etti. Aile, amiral gemisi Sol modelini, genel amaçlı Terra modelini ve düşük maliyetli Luna modelini içeriyor. OpenAI, GPT-5.6 Sol'un en zor doğrudan prompt injection kıyaslamasında, dört ay önceki en güçlü üretim modeline kıyasla altı kat daha az hata ürettiğini söyledi. Daha geniş bir test ortamı setinde GPT-Red'in doğrudan saldırılarının GPT-5.6 Sol'a karşı yalnızca %0.05 oranında başarılı olduğu belirtildi.

GPT-Red halka açıklanmayacak. OpenAI, kırmızı takım modelini dağıtılan modellerden ayrı tuttuğunu çünkü kötü niyetli promptlar üretmek üzere eğitildiğini belirtti. Bunun yerine, saldırıları üretim modeli eğitimine besleniyor; daha önceki sürümler GPT-5.3'ten bu yana her OpenAI modeline adversarial veri sağladı. Bu yaklaşım, otomatik prompt injection testini doğrudan model geliştirme döngüsüne yerleştirerek yeni keşfedilen saldırıların sonraki savunmaları şekillendirmesine olanak tanıyor. Ancak GPT-Red dahili kaldığı için dışarıdaki araştırmacılar, savunmaların kontrollü test ortamlarının ötesinde ne kadar iyi durduğunu değerlendirmek için OpenAI'in kıyaslamalarına ve yakında yayınlanacak ön baskısına güvenmek zorunda kalacak.

Neden önemli

Prompt injection, büyük dil modellerinin (LLM) en kalıcı güvenlik sorunlarından biri olmaya devam ediyor. İnsan kırmızı takımı, dar bir zafiyet yelpazesini derinlemesine keşfetmede etkili olsa da, modern modellerin eğitimi için gereken milyonlarca adversarial örneği üretmekte yetersiz kalıyor. GPT-Red, bu ölçek sorununu otomatikleştirerek çözüyor: kendi kendine oyun yoluyla sürekli gelişen saldırılar üretiyor ve bunları doğrudan eğitim döngüsüne entegre ediyor. OpenAI'in GPT-5.6 Sol ile elde ettiği %0.05'lik başarı oranı, bu yaklaşımın kısa vadede işe yaradığını gösteriyor. Ancak GPT-Red'in kapalı kalması, bağımsız doğrulamayı imkansız kılıyor. Sektörün, bu tür otomatik kırmızı takım araçlarının açık kaynak veya üçüncü taraf denetimine açık olup olmayacağını görmesi gerekiyor.