Архив рубрики ~Лента новостей~

GPT-Red: Раскрытие потенциала самосовершенствования для повышения надежности | OpenAI

GPT-Red: Раскрытие потенциала самосовершенствования для повышения надежности | OpenAI

Краткое содержание

Проблема

  • «Красная команда» (red-teaming) необходима для обнаружения уязвимостей и повышения надежности наших моделей. Однако существующие подходы не масштабируемы, что создает узкое место.
  • Наши новейшие модели уже исчерпали возможности широко используемых методов оценки устойчивости.
  • Нам необходимо разработать методы, которые позволят масштабировать безопасность и согласованность в соответствии с возможностями модели.

Что мы сделали

  • Мы обучили GPT-Red, автоматизированную модель для выявления уязвимостей, которая позволяет масштабировать наши возможности по обнаружению уязвимостей, чтобы мы могли устранить их до более широкого внедрения.
  • GPT-Red — мощный инструмент для «красной команды», и наши предыдущие модели были крайне уязвимы для его атак с мгновенным внедрением кода.
  • Мы используем GPT-Red для обучения GPT-5.6 в условиях противодействия внешним воздействиям, что делает его гораздо более устойчивым к инъекциям подсказок.
  • Мы продолжим масштабировать этот подход наряду с проверкой на проникновением с участием людей и сторонних экспертов, многоуровневыми мерами защиты и мониторингом в режиме реального времени.

Системы искусственного интеллекта часто взаимодействуют с данными третьих лиц через браузеры, подключенные приложения, локальные файлы и другие инструменты. Эти возможности необходимы для выполнения реальных задач, но они также создают больше возможностей для злоумышленников влиять на поведение модели. Например, третье лицо может внедрить тщательно разработанную инструкцию — предназначенную для того, чтобы обманом заставить модель загрузить конфиденциальные данные на внешний сервер — в электронное письмо, веб-страницу, ответ инструмента или репозиторий кода.

Проверка на наличие уязвимостей с участием людей является важнейшей частью нашей работы по обеспечению безопасности, помогая нам выявлять эти уязвимости до развертывания и внедрять необходимые меры защиты. Однако масштабируемость такой проверки в одиночку затруднительна. Разработка и проведение этих учений требуют больших временных затрат, что ограничивает скорость выявления новых режимов отказов и их включения в более надежные меры защиты. Кроме того, хотя эти учения предоставляют ценные примеры успешных атак, они не могут генерировать объем и разнообразие данных о противодействии, необходимых для повышения устойчивости модели посредством обучения.

Чтобы идти в ногу со все более совершенными моделями, масштабирование также требует использования методов «красной команды». С этой целью мы обучаем автоматизированные, предназначенные только для внутреннего использования, модели «красной команды», которые выявляют уязвимости до развертывания и генерируют атаки во время обучения модели для повышения ее надежности. Мы считаем, что автоматизированная «красная команда» открывает важнейший путь самосовершенствования в сфере безопасности: использование современных моделей для непосредственного повышения безопасности будущих моделей.

GPT-Red — это кульминация этих усилий и наша лучшая на данный момент автоматизированная модель для тестирования безопасности методом «красной команды». Подобно тому, как специалисты по тестированию методом «красной команды» разрабатывают атаки, модель работает над достижением цели, отправляя запрос, наблюдая за реакцией моделей GPT и итеративно совершенствуясь. Мы обучили GPT-Red на вычислительных мощностях, сопоставимых с масштабами наших крупнейших посттренировочных запусков в OpenAI — беспрецедентный объем вычислительных ресурсов, выделенных исключительно на повышение безопасности.

Мы напрямую интегрируем GPT-Red в процесс обучения наших производственных моделей. В результате GPT-5.6 Sol является нашей самой надежной моделью для внедрения вредоносного ПО на сегодняшний день, достигнув в 6 раз меньшего количества ошибок на нашем самом сложном бенчмарке прямого внедрения вредоносного ПО по сравнению с нашей лучшей производственной моделью, созданной всего четыре месяца назад. Масштабируемость нашего подхода вселяет в нас надежду на еще более высокие результаты в будущем, по мере того как мы продолжаем обучать более сильных специалистов по тестированию на проникновение.

Примеры диалогов с использованием подсказок

Sch
Sch


Обучение GPT-Red посредством самообучения

GPT-Red обучается с использованием метода самообучения с подкреплением, в котором модель и набор разнообразных моделей защитников обучаются одновременно на широком наборе сценариев «красной команды». GPT-Red получает вознаграждение за выявление допустимой ошибки, такой как успешное внедрение подсказки, в то время как модели защитников получают вознаграждение за сопротивление атаке и выполнение своих первоначальных задач. По мере того, как модели защитников становятся более устойчивыми, GPT-Red вынужден обнаруживать более сильные и разнообразные атаки.

Для поддержки обучения в режиме самообучения мы создаем обширный набор реалистичных сценариев, в которых могут быть внедрены подсказки. Каждая среда имеет модель угроз, которая определяет, что GPT-Red может контролировать и что считается успешной атакой. Например, GPT-Red может контролировать часть локального файла, баннер веб-страницы, текст электронного письма или выходные данные инструмента.

По завершении обучения GPT-Red становится очень сильным атакующим инструментом: он способен взломать практически все модели, с которыми сталкивается, как внутренние, так и производственные, вплоть до GPT-5.5 включительно. После завершения обучения GPT-Red мы использовали его для генерации мгновенных инъекций для обучения GPT-5.6, в результате чего модель стала очень устойчивой к атакам GPT-Red.

Мы храним GPT-Red отдельно от моделей, которые используем в наших приложениях. Это позволяет защитить GPT-Red от вредоносных функций, которые мы специально внедряем в него в процессе обучения, и одновременно повысить надежность наших производственных моделей.

Насколько силён GPT-Red?

GPT-Red демонстрирует высокую эффективность против совокупности моделей защиты и сценариев «красной команды», на которых она была обучена. Мы также оцениваем, насколько эта модель полезна в качестве универсального агента «красной команды» для повышения безопасности в OpenAI в целом. Для этого мы тестируем эффективность GPT-Red в новых средах обеспечения безопасности и целевых моделях.

Сначала мы оцениваем способность GPT-Red к обобщению на новые сценарии «красной команды», используя воспроизведенную версию арены косвенного введения подсказок из работы Dziemian et al. (2025) .(откроется в новом окне)В этом соревновании как люди-«красные команды», так и GPT-Red независимо друг от друга предложили варианты атак на GPT-5.1 в заранее определенных средах. Эти сценарии и цели «красных команд» отличаются от тех, которые использовались для обучения GPT-Red. GPT-Red демонстрирует значительно более высокие показатели успешности атак, добиваясь успеха в 84% сценариев по сравнению с 13% у людей.

4
4

Реалистичные примеры из практики «красной команды»

Главное испытание для специалиста по тестированию на проникновение — это способность достигать целенаправленных вредоносных целей против реальных агентных систем, обладая неполными знаниями об их базовой модели и конструкции. В нашем первом эксперименте в этой области GPT-Red противостоял торговому автомату с искусственным интеллектом в офисе OpenAI (аналогично проекту Vend ).(откроется в новом окне)) разработан компанией Andon Labs. Мы предоставили GPT-Red описание системы и возможность отправлять атаки и отслеживать вызовы инструментов от имитируемого агента, что максимально точно имитирует реальную ситуацию. После итераций атак GPT-Red развернул свою атаку против производственного агента, достигнув всех трех своих вредоносных целей:

  • Измените цену дорогостоящего товара, имеющегося в наличии, на минимально допустимую цену в 0,50 доллара;
  • Закажите новый товар стоимостью более 100 долларов и предложите его по цене 0,50 доллара;
  • Отменить заказ другого клиента.

Мы сообщили об этих уязвимостях, и в настоящее время активно тестируются новые меры защиты.

Визуализация процесса поиска и атаки с использованием GPT-Red против автономного торгового автомата, работающего по принципу Vendy.

GPT-Red удалось взломать работающего автономного агента по имени Венди, управляющего торговым автоматом. GPT-Red удалось заставить производственного агента менять дорогие товары на дешевые и отменять заказы других клиентов, сначала проведя тестирование в симуляции, а затем перенеся атаки на работающего агента.

Мы также используем GPT-Red для атаки на агент Codex CLI (на основе GPT-5.4 mini) в наборе из 10 сценариев утечки данных, которые не были задействованы. Мы сравниваем модель с базовой моделью GPT-5.5, чтобы изучить влияние нашей процедуры обучения на эффективность работы команды «красных» в условиях не задействованных данных. GPT-Red оказывается более эффективным, поскольку позволяет агенту успешно украсть конфиденциальные данные в большем количестве сценариев, и более экономичным с точки зрения расхода токенов.

2
2


Повышение надежности с помощью GPT-Red

Конечная цель GPT-Red — повышение устойчивости наших моделей. За последние шесть месяцев мы обучали всё более мощные модели для тестирования на проникновение (предшественники GPT-Red) с увеличением вычислительной мощности и использовали эти модели при обучении каждой последующей производственной модели, начиная с GPT-5.3. Со временем каждый последующий релиз GPT становился всё более надёжным.

В качестве примера можно привести раннюю версию GPT-Red, в которой был обнаружен новый класс атак с прямой инъекцией подсказок, известных как атаки типа «поддельная цепочка мыслей». В GPT-5.1 эти атаки достигали уровня успешности более 95%, но в GPT-5.6 Sol этот показатель снизился до менее 10%. Аналогично, несколько наших тестов на непрямую инъекцию подсказок, направленных на атаки в инструментах разработчика и браузерах, были перегружены нашей последней моделью (точность >97%).

Устойчивость к самому GPT-Red также существенно улучшилась. В широком диапазоне условий устойчивости показатели успешности атак GPT-Red монотонно снижались с течением времени. В нашей последней версии модели GPT-5.6 Sol терпит неудачу только в 0,05% случаев прямых инъекций подсказок GPT-Red.

1
1

Надежный и при этом высокоэффективный

Модель может казаться более безопасной, отклоняя больше запросов или становясь менее функциональной. Модель, которая делает меньше, естественно, сложнее для атаки, но это не является полезной устойчивостью.

Мы тщательно оцениваем как общие возможности на границе допустимых значений, так и задачи, направленные на устранение отказов, которые мы разработали. Мы обнаружили, что все обычные возможности остаются неизменными, при этом значительно повышается устойчивость. Это говорит о том, что повышение устойчивости обусловлено лучшей устойчивостью к вредоносным инструкциям, а не неправильным использованием инструментов или отказом в выполнении легитимных запросов по умолчанию.

Следующие шаги

Искусственный интеллект уже используется для улучшения возможностей наших моделей следующего поколения. Мы считаем, что с GPT-Red мы запустили аналогичный механизм повышения безопасности, где сегодняшние модели могут быть использованы для создания завтрашних моделей, более надежных, согласованных и заслуживающих доверия. Мы продолжим масштабировать вычислительные мощности и данные, одновременно улучшая алгоритмы, чтобы обучать будущие версии GPT-Red, которые будут сильнее сегодняшней модели. А в свою очередь, эти модели помогут сделать будущие релизы GPT более безопасными.

Более подробная информация будет опубликована в предварительной версии статьи позднее на этой неделе.

Читать полностью на источнике

Оцените материал:

Поделиться
Понравилась статья? Расскажите другим
ВКонтакте
Читайте также
Новости робототехники Телеуправляемый андроид Unitree G1 прооперировал свиней. Им лапароскопически удалили желчный пузырь Новости робототехники Weave Robotics запускает Айзека, своего первого представителя робота-гуманоида Новости робототехники Страх перед человекоподобными роботами подтолкнул рабочих к забастовке на автомобильном заводе Hyundai. Новости робототехники Основатель Максимо рассказывает, как робототехника строит строительство солнечной энергетики. Архив рубрики ~Обо всем~ Астрономы нашли кандидата в самый далекий галактический бар. Он существовал спустя почти 1,2 миллиарда лет после Большого Взрыва Новости робототехники По заключению Национального совета по безопасности на транспорте (NTSB), водитель Tesla, который объяснил аварию тем, что автопилот нажал на педаль газа на 100%. Новости робототехники Mondo Robotics представляет собой Beni, вездеходного робота с электрической розеткой и искусственным интеллектом для потребителей. Архив рубрики ~Обо всем~ «Парачастицы» могут стать представителями третьего царства квантовых частиц Архив рубрики ~Коротко из Telegram~ Нейросеть обучили подсчету и оценке качества семян Архив рубрики ~Коротко из Telegram~ «Комендантский час» на соцсети для подростков 16-17 лет хотят ввести… Архив рубрики ~Коротко из Telegram~ В Южной Корее создадут бесплатного ИИ-бота для всех граждан. Архив рубрики ~Коротко из Telegram~ В США 73% технических вакансий требуют навыков работы с ИИ,… Архив рубрики ~Обо всем~ Компания SpaceX внезапно прервала второй запуск Starship V3 после запуска двигателя. Архив рубрики ~Коротко из Telegram~ Samsung хочет обучать ИИ на данных здоровья Новости робототехники Телеуправляемый андроид Unitree G1 прооперировал свиней. Им лапароскопически удалили желчный пузырь Новости робототехники Weave Robotics запускает Айзека, своего первого представителя робота-гуманоида Новости робототехники Страх перед человекоподобными роботами подтолкнул рабочих к забастовке на автомобильном заводе Hyundai. Новости робототехники Основатель Максимо рассказывает, как робототехника строит строительство солнечной энергетики. Архив рубрики ~Обо всем~ Астрономы нашли кандидата в самый далекий галактический бар. Он существовал спустя почти 1,2 миллиарда лет после Большого Взрыва Новости робототехники По заключению Национального совета по безопасности на транспорте (NTSB), водитель Tesla, который объяснил аварию тем, что автопилот нажал на педаль газа на 100%. Новости робототехники Mondo Robotics представляет собой Beni, вездеходного робота с электрической розеткой и искусственным интеллектом для потребителей. Архив рубрики ~Обо всем~ «Парачастицы» могут стать представителями третьего царства квантовых частиц Архив рубрики ~Коротко из Telegram~ Нейросеть обучили подсчету и оценке качества семян Архив рубрики ~Коротко из Telegram~ «Комендантский час» на соцсети для подростков 16-17 лет хотят ввести… Архив рубрики ~Коротко из Telegram~ В Южной Корее создадут бесплатного ИИ-бота для всех граждан. Архив рубрики ~Коротко из Telegram~ В США 73% технических вакансий требуют навыков работы с ИИ,… Архив рубрики ~Обо всем~ Компания SpaceX внезапно прервала второй запуск Starship V3 после запуска двигателя. Архив рубрики ~Коротко из Telegram~ Samsung хочет обучать ИИ на данных здоровья

Оставить комментарий