GPT-Red ist laut OpenAI ein Modell, das darauf trainiert wurde, Sicherheitslücken in KI-Systemen zu finden – der Schwerpunkt liegt auf Prompt-Injections. Das Training lief als Self-Play-Schleife: GPT-Red greift an, Verteidiger-Modelle wehren ab, beide werden über viele Runden besser. MIT Technology Review beschreibt das Ziel so: „Its goal was to try to attack the other models; their goal was to try to defend themselves. Over many rounds of play, GPT-Red became better and better at attacking other LLMs.“
Die berichteten Zahlen: Im direkten Vergleich findet GPT-Red nach OpenAIs Angaben in 84 Prozent der Testszenarien erfolgreiche Angriffe, menschliche Red-Teamer in 13 Prozent. Gegen GPT-5 (Stand August 2025) funktionierten über 90 Prozent der Angriffe; gegen das gegen GPT-Red gehärtete GPT-5.6 sind es nach OpenAI weniger als 23 Prozent. The Decoder nennt ergänzend, GPT-5.6 Sol weise sechsmal weniger Fehler bei direkten Prompt-Injections auf als das vier Monate ältere beste Modell – rund 3,8 Prozent der stärkeren Prompt-Injections seien weiterhin erfolgreich. Getestet wurde neben den eigenen Modellen auch gegen Vendy, einen Verkaufsautomaten-Agenten von Andon Labs.
OpenAI benennt Grenzen: GPT-Red ist schwach bei Angriffen, die eine mehrstufige Konversation erfordern, und bei bildbasierten Prompt-Injections. Menschliche Aufsicht bleibe wichtig, weil Menschen weiterhin Angriffe finden, die das Modell übersieht. Jessica Ji vom Center for Security and Emerging Technology (Georgetown) kommentiert zurückhaltend positiv: „The results look very promising.“
Einordnung zur Belegbarkeit: Alle quantitativen Aussagen sind anbieter-selbstberichtet. MIT Technology Review schreibt alle Zahlen und Fähigkeitsbehauptungen ausdrücklich OpenAI zu und nennt keine unabhängige Überprüfung. Eine Reproduktion durch Dritte liegt bislang nicht vor.