
L’essentiel en bref
- GPT-Red est un modèle interne d’OpenAI qui cherche les failles de sécurité de ses propres IA.
- Il réussit 84 % des attaques par injection de prompt, là où des red-teamers humains atteignent 13 % (selon OpenAI).
- OpenAI s’en est servi pour durcir GPT-5.6, qui échoue désormais sur 0,05 % de ces attaques.
Accès rapide (Sommaire) :
Ce qu’OpenAI a annoncé avec GPT-Red
GPT-Red est un modèle d’IA offensif, pensé pour trouver les vulnérabilités des autres modèles d’OpenAI.
Son travail ressemble à celui d’un red-teamer humain.
Il envoie un prompt, observe la réaction du modèle cible, puis ajuste son attaque et recommence.
OpenAI indique l’avoir entraîné avec une puissance de calcul comparable à ses plus gros entraînements post-formation. C’est, selon l’entreprise, une quantité de calcul inédite consacrée uniquement à la sécurité.
L’annonce a été publiée sur le blog d’OpenAI, avec un pré-print promis dans la semaine.
Injection de prompt et self-play : comment GPT-Red apprend à casser un modèle ?
Le risque est concret dès qu’un agent IA lit des données extérieures.
Un attaquant peut cacher une consigne dans un mail ou une page web, par exemple pour forcer l’agent à envoyer des données sensibles vers un serveur externe.
Définition :
Injection de prompt : attaque qui glisse des instructions cachées dans des données lues par un modèle (mail, page web, fichier, réponse d’outil) pour détourner son comportement.
GPT-Red est entraîné par apprentissage par renforcement en self-play.
Il affronte en continu des modèles défenseurs qui, eux, apprennent à résister.
L’attaquant est récompensé quand il réussit une injection, le défenseur quand il la bloque tout en finissant sa tâche.
Plus les défenseurs progressent, plus GPT-Red doit inventer des attaques nouvelles.
OpenAI précise qu’il garde ce modèle strictement interne.
L’objectif : ne pas mettre ces capacités offensives entre les mains d’acteurs malveillants, tout en durcissant les modèles de production.
Ce que GPT-Red a réussi à pirater en conditions réelles
Le chiffre marquant vient d’un test d’injection de prompt indirecte, repris des travaux de Dziemian et al. (2025).
Sur des scénarios inédits, GPT-Red aurait réussi 84 % des attaques contre GPT-5.1, contre 13 % pour des red-teamers humains.
OpenAI l’a aussi lâché sur un agent autonome réel.
Cible : un distributeur automatique piloté par IA installé dans ses bureaux, baptisé Vendy et produit par Andon Labs.
GPT-Red a atteint ses trois objectifs malveillants sur l’agent en production.
- Faire tomber le prix d’un article coûteux à 0,50 $, le minimum autorisé.
- Commander un article à plus de 100 $ et le proposer à 0,50 $.
- Annuler la commande d’un autre client.
OpenAI dit avoir signalé ces failles et tester de nouvelles protections.
Autre cible : un agent Codex CLI basé sur GPT-5.4 mini, sur dix scénarios d’exfiltration de données.
Face à ce type d’agent IA déployé en entreprise, GPT-Red s’est montré plus efficace et plus économe en jetons qu’un modèle GPT-5.5 simplement configuré par prompt.
Ce que ça change pour les pros qui déploient des agents IA
Le sujet touche toutes les équipes qui branchent des agents IA sur des mails, des fichiers, un navigateur ou des outils métier.
Ces connexions rendent l’agent utile, mais elles ouvrent aussi la porte aux injections de prompt :
- Premier enseignement : la sécurité d’un agent ne se juge pas sur le modèle seul, mais sur tout ce qu’il est autorisé à lire et à exécuter.
- Deuxième enseignement : OpenAI intègre GPT-Red directement dans l’entraînement de ses modèles de production.
Résultat ? GPT-5.6 Sol serait le modèle d’OpenAI le plus résistant aux injections à ce jour, avec 6 fois moins d’échecs sur son banc le plus dur qu’un modèle sorti quatre mois plus tôt.
Une famille d’attaques repérée par GPT-Red, baptisée « Fake Chain-of-Thought », illustre la bascule.
Elle dépassait 95 % de réussite sur GPT-5.1, elle tombe sous 10 % sur GPT-5.6 Sol, selon OpenAI.
Pour une équipe qui choisit un modèle, la robustesse à l’injection devient donc un critère de sélection, au même titre que la performance brute.
Cela ne dispense pas de vos propres garde-fous, ni de vos outils de sécurité informatique autour de l’agent.
Les limites à garder en tête
Les chiffres viennent d’OpenAI, sur ses propres bancs de test, et n’ont pas encore été validés par un tiers indépendant.
- Le pré-print détaillé n’était pas publié au moment de l’annonce.
- Une IA plus « sûre » peut aussi le devenir en refusant trop de requêtes légitimes.
- OpenAI affirme avoir vérifié ce point et n’observer aucune perte de capacités ni sur-refus sur GPT-5.6.
- Reste que 0,05 % d’échec n’est pas zéro. Sur des millions d’appels d’agents en production, une faille résiduelle suffit à causer une fuite de données.
Enfin, le résultat dépend de la façon dont vos prompts et vos accès sont conçus, pas seulement du modèle choisi.
Notre verdict :
GPT-Red confirme que l’injection de prompt est le vrai problème de sécurité des agents IA, et qu’aucune société ne doit l’ignorer. La démarche d’OpenAI est intéressante, mais les chiffres restent internes et non vérifiés. À ce stade, retenez surtout ce principe : sécurisez ce que votre agent peut lire et exécuter, sans compter uniquement sur la robustesse du modèle.
La vraie question à se poser : si un attaquant peut piéger un agent via un simple mail ou une page web, quels accès êtes-vous vraiment prêt à confier à vos agents IA en production ?

Fondateur de LEPTIDIGITAL et SUPASST, je suis également consultant spécialisé en acquisition de leads B2B (SaaS). Passionné par le marketing digital, l’intelligence artificielle et le SEO. Avant de devenir indépendant, j’ai occupé des postes clés en tant que SEO Manager et responsable e-commerce pour plusieurs grandes entreprises (Altice Media, Infopro Digital, Voyage Privé et le Groupe ERAM). Sur le plan perso, je suis un curieux insatiable, également passionné par la photographie, le badminton et les voyages. Pour toute demande de partenariat, privilégiez LinkedIn ou email ([email protected]).