共有:

SAFETY SPECIALIST MODELS

AIを攻撃するAI、
「GPT-Red」登場。

OpenAI が、他の AI システムに攻撃を仕掛けて脆弱性を炙り出すためだけに作られたレッドチーム専用モデル GPT-Red を公開しました。内部ではすでに次期フロンティア GPT-5.6 の堅牢化に投入。5月の GPT-5.5-Cyber、6月の Rosalind Biodefense に続く、安全性特化ラインナップの第3弾です。

AI Navigate 編集部·2026.07.17·読了 6分

SPECIALIST STACK GPT-5.5-Cyber 攻撃セキュリティ · 2026.05 Rosalind Biodefense 生物リスク遮断 · 2026.06 GPT-Red レッドチーミング · 2026.07 GPT-5.6 HARDENING frontier consumer model 攻撃AI × 3 → 防御AI × 1
FIG. 安全性特化モデル 3 種を積み上げ、次期フロンティア GPT-5.6 の堅牢化に投入する構図
01

The News

攻撃を仕事にするモデル、
ついに製品化される

GPT-Red は「他の AI を壊す」ためにチューニングされた OpenAI 初の外販モデル。

GPT-Red は、ジェイルブレイクの起草、プロンプトインジェクション経路の探索、視覚・音声モデルへの敵対的サンプル生成、RAG に対する出力汚染、安全分類器の回避、ツール呼び出しの悪用パターンといった攻撃タスク一式を自動で回すために調整されています。OpenAI は 同社の Preparedness チーム(Alexander Madry 率いる約 40 名規模)が、対象モデルに対する数万件規模のレッドチーム試行をパイプラインとして回す社内基盤を、そのまま外販できる形にしたとしています(OpenAI SafetyOpenAI)。

公表資料によれば、モデルへのアクセスは Enterprise 契約 + KYC を経た 署名済みの契約エンゲージメントに限定され、OpenAI 自身の一般消費者向け面(ChatGPT など)を含む「自社製品への攻撃」は API 側でブロックされます。全リクエストは監査ログとして 12 か月保管され、規制当局に対する提出が可能。米 NIST の AI Safety Institute による事前評価と、MITRE の攻撃分類フレームワーク ATLAS へのマッピングが同時に公開されました。「攻撃 AI」を製品として堂々と流通させる、というのは業界初の一手です。

02

By the Numbers

GPT-Red のスケール感

3
安全特化モデル(2026 年 5-7 月)
~40名
Preparedness チーム規模
10-30秒
敵対例 1 件あたりの生成時間(市場観測)
GPT-5.6
内部で堅牢化に使用中

ラインナップ 3 種は 2026 年 5 月の GPT-5.5-Cyber(攻撃系サイバーセキュリティ)、6 月の Rosalind Biodefense(生物脅威の入口ゲート)、そして今回の GPT-Red。Preparedness チーム規模は公表レンジからの推定、敵対的サンプル 1 件あたりの生成時間は競合サービスの計測から得た市場観測値です。


03

Why It Matters

安全性の作り方が、
ラボごとに分岐している

「単一モデル・フレームワーク・特化スタック」— フロンティア各社の戦略はいま3つに割れています。

ANTHROPIC Claude Constitutional AI + RSP 単一モデルに全部乗せる GOOGLE Threat model Detect Control Respond SAIF: プロセス/監査で守る OPENAI GPT-5.5-Cyber Rosalind Biodefense GPT-Red 用途特化モデルを積み上げる
FIG. Anthropic は単一モデル型、Google は SAIF によるプロセス型、OpenAI は用途別モデルを積み上げる型
01

「攻撃 AI」を売り物にした最初のラボ

各社とも社内には強力なレッドチームを持ちますが、それを売れるモデルとして分離公開したのは OpenAI が業界初。Anthropic の Responsible Scaling Policy が「1 つの Claude を段階的に堅くする」流儀なのに対し、OpenAI は「攻撃係と防御係を役割ごとに分ける」姿勢を鮮明にしました。

02

GPT-5.6 ローンチのタイミングと重なる

公開のタイミングは偶然ではありません。フロンティア消費者向けモデル GPT-5.6 の内部堅牢化に GPT-Red が使われている、と Sam Altman 氏が明言したことは、「攻撃 AI で殴りながら次期モデルを育てる」という開発サイクルを外部にも見せる意図の表れです。

03

調達・監査の常識が変わる

これまで「うちのモデルの安全性はこうです」という自己申告に依存していた LLM 調達に、第三者攻撃 AI に晒したレポートという定量的な証跡が加わります。監査対応のコンプライアンス成果物として、GPT-Red 実行ログの取得を要件化する調達フローは、今後 1〜2 年で標準化する可能性が高い。

04

Who's Affected

誰に、どう効くか

エンジニア/事業/プロダクトの 3 つの立場から、明日から動かせる粒度で。

エンジニア

LLM を組み込んだ社内アプリの CI に、GPT-Red 実行ステップを追加します。jailbreak 回帰テストと prompt-injection スキャンを PR 単位で走らせ、しきい値超えでデプロイをブロック。MITRE ATLAS のカテゴリを attribute にして結果を保管しておくと、監査時にそのまま提出できます。

事業/購買

取引先の AI ベンダーへの RFP に「直近 6 か月以内の GPT-Red 実行レポートを添付せよ」を条件として書けます。監査部門はコンプライアンス成果物の 1 種として、モデル提供者の応答証跡を要求可能。契約時のリスク配分(責任限度、SLA)を有利に組み直す材料になります。

プロダクトマネージャ

リリースゲートに 「AI レッドチームレビュー通過」を新設し、四半期予算に組み込みます。攻撃試行あたり課金の可能性が高いので、リリース頻度 × 攻撃セット規模でランニングを見積もり、SLO と一緒にダッシュボード化しておくと、上位承認が通りやすくなります。

05

The Counterpoint

ただし、これは
両刃の刃である

攻撃能力を持つモデルの製品化には、素直に喜べない側面もある。

デュアルユース懸念:外部から見れば GPT-Red は「欲しがる悪意ある勢力がいる兵器」でもあります。Enterprise + KYC + 契約という三重ゲートは強力ですが、内部関係者や下請け経由の漏出リスクはゼロにはできず、アクセス制御の実効性を独立監査する仕組みが必要です。 効果の外部証明が困難:GPT-Red によって「GPT-5.6 が実際に安全になった」ことを、モデルの外側から検証する方法は現時点で確立していません。攻撃と防御を同じベンダーが握ることの利益相反は、規制当局が真っ先に指摘するでしょう。 攻撃寄りのエコシステム:他社が対抗上「自社版 Red」を出せば、フロンティアラボ発の攻撃モデルが常時 3〜4 種類流通する状態になります。公表されない攻撃テクニックがモデル重みに埋め込まれたまま流通する事態は、対策コストの新たな源泉です。


06

What to Do Next

次の一手として、
何をすべきか

短期(〜3 か月)中期(〜12 か月)
既存 LLM アプリの脅威モデルを ATLAS で言語化し、GPT-Red の攻撃セットに写像するEU AI Act の高リスク要件(第 15 条 · adversarial testing)に合わせ、四半期レッドチーム運用を制度化
Anthropic/Google の対抗手(Claude Red 系、SAIF Attack Suite など)を watch し、乗り換え可能性を確保攻撃試行あたり課金 vs サブスクの実勢価格を集計し、社内 SLO に応じた最適な購入形態を選ぶ
RFP テンプレートに「直近の第三者攻撃 AI レポート提出」を追加NIST AISI/MITRE ATLAS 由来の共通スコアリングが標準化された時点で、社内ダッシュボードへ統合

要点は、GPT-Red 単体を「便利ツール」として消費するのではなく、調達・監査・リリースゲートという 3 つの業務プロセスに埋め込むことです。攻撃能力の商品化はもう始まっています。仕組みとして受け止められる側が、次の 12 か月で大きく引き離す番です。