GPT-Red : l’IA de cybersécurité d’OpenAI qui bat les humains sur 84 % des attaques testées

OpenAI a présenté GPT-Red le 15 juillet 2026, un modèle d’IA entraîné pour attaquer ses propres systèmes. Sur un banc de test d’injection de prompt, ce red-teamer automatisé réussit 84 % des attaques, contre 13 % pour des experts humains. Pourquoi une entreprise qui vend de l’IA construit-elle une IA capable de la pirater ?
Sam Altman (OpenAI)
Sam Altman (OpenAI)

L’essentiel en bref

  • GPT-Red est un modèle interne d’OpenAI qui cherche les failles de sécurité de ses propres IA.
  • Il réussit 84 % des attaques par injection de prompt, là où des red-teamers humains atteignent 13 % (selon OpenAI).
  • OpenAI s’en est servi pour durcir GPT-5.6, qui échoue désormais sur 0,05 % de ces attaques.

Ce qu’OpenAI a annoncé avec GPT-Red

GPT-Red est un modèle d’IA offensif, pensé pour trouver les vulnérabilités des autres modèles d’OpenAI.

Son travail ressemble à celui d’un red-teamer humain.

Il envoie un prompt, observe la réaction du modèle cible, puis ajuste son attaque et recommence.

OpenAI indique l’avoir entraîné avec une puissance de calcul comparable à ses plus gros entraînements post-formation. C’est, selon l’entreprise, une quantité de calcul inédite consacrée uniquement à la sécurité.

L’annonce a été publiée sur le blog d’OpenAI, avec un pré-print promis dans la semaine.

Injection de prompt et self-play : comment GPT-Red apprend à casser un modèle ?

Le risque est concret dès qu’un agent IA lit des données extérieures.

Un attaquant peut cacher une consigne dans un mail ou une page web, par exemple pour forcer l’agent à envoyer des données sensibles vers un serveur externe.

Définition :

Injection de prompt : attaque qui glisse des instructions cachées dans des données lues par un modèle (mail, page web, fichier, réponse d’outil) pour détourner son comportement.

GPT-Red est entraîné par apprentissage par renforcement en self-play.

Il affronte en continu des modèles défenseurs qui, eux, apprennent à résister.

L’attaquant est récompensé quand il réussit une injection, le défenseur quand il la bloque tout en finissant sa tâche.

Plus les défenseurs progressent, plus GPT-Red doit inventer des attaques nouvelles.

OpenAI précise qu’il garde ce modèle strictement interne.

Ce que GPT-Red a réussi à pirater en conditions réelles

Le chiffre marquant vient d’un test d’injection de prompt indirecte, repris des travaux de Dziemian et al. (2025).

OpenAI l’a aussi lâché sur un agent autonome réel.

Cible : un distributeur automatique piloté par IA installé dans ses bureaux, baptisé Vendy et produit par Andon Labs.

GPT-Red a atteint ses trois objectifs malveillants sur l’agent en production.

  • Faire tomber le prix d’un article coûteux à 0,50 $, le minimum autorisé.
  • Commander un article à plus de 100 $ et le proposer à 0,50 $.
  • Annuler la commande d’un autre client.

OpenAI dit avoir signalé ces failles et tester de nouvelles protections.

Autre cible : un agent Codex CLI basé sur GPT-5.4 mini, sur dix scénarios d’exfiltration de données.

Face à ce type d’agent IA déployé en entreprise, GPT-Red s’est montré plus efficace et plus économe en jetons qu’un modèle GPT-5.5 simplement configuré par prompt.

Ce que ça change pour les pros qui déploient des agents IA

Le sujet touche toutes les équipes qui branchent des agents IA sur des mails, des fichiers, un navigateur ou des outils métier.

Ces connexions rendent l’agent utile, mais elles ouvrent aussi la porte aux injections de prompt :

  • Premier enseignement : la sécurité d’un agent ne se juge pas sur le modèle seul, mais sur tout ce qu’il est autorisé à lire et à exécuter.
  • Deuxième enseignement : OpenAI intègre GPT-Red directement dans l’entraînement de ses modèles de production.

Une famille d’attaques repérée par GPT-Red, baptisée « Fake Chain-of-Thought », illustre la bascule.

Elle dépassait 95 % de réussite sur GPT-5.1, elle tombe sous 10 % sur GPT-5.6 Sol, selon OpenAI.

Pour une équipe qui choisit un modèle, la robustesse à l’injection devient donc un critère de sélection, au même titre que la performance brute.

Cela ne dispense pas de vos propres garde-fous, ni de vos outils de sécurité informatique autour de l’agent.

Les limites à garder en tête

Les chiffres viennent d’OpenAI, sur ses propres bancs de test, et n’ont pas encore été validés par un tiers indépendant.

  • Le pré-print détaillé n’était pas publié au moment de l’annonce.
  • Une IA plus « sûre » peut aussi le devenir en refusant trop de requêtes légitimes.
  • OpenAI affirme avoir vérifié ce point et n’observer aucune perte de capacités ni sur-refus sur GPT-5.6.
  • Reste que 0,05 % d’échec n’est pas zéro. Sur des millions d’appels d’agents en production, une faille résiduelle suffit à causer une fuite de données.

Enfin, le résultat dépend de la façon dont vos prompts et vos accès sont conçus, pas seulement du modèle choisi.

Notre verdict :

GPT-Red confirme que l’injection de prompt est le vrai problème de sécurité des agents IA, et qu’aucune société ne doit l’ignorer. La démarche d’OpenAI est intéressante, mais les chiffres restent internes et non vérifiés. À ce stade, retenez surtout ce principe : sécurisez ce que votre agent peut lire et exécuter, sans compter uniquement sur la robustesse du modèle.

La vraie question à se poser : si un attaquant peut piéger un agent via un simple mail ou une page web, quels accès êtes-vous vraiment prêt à confier à vos agents IA en production ?

Un avis ? post

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *