GPT-Red od OpenAI: LLM-hacker na test obrany AI
OpenAI postavil automatizovaného útočníka a trénuje ním vlastné modely proti prompt injection. Čo z toho plynie pre firemnú bezpečnosť.

GPT-Red od OpenAI je interný model, ktorého jedinou úlohou je útočiť na iné modely, hľadať v nich diery a nútiť ich, aby sa správali proti pravidlám. OpenAI ho predstavil 15. júla 2026 a použil na tréning novej verzie GPT-5.6. Firma tvrdí, že tým dosiahla svoj doteraz najodolnejší model voči injekcii promptov.
Znie to ako nástroj čisto pre laboratóriá OpenAI. V praxi z toho ale vyplýva niečo, čo sa týka každého, kto nasadzuje AI do firmy: aj špičkový model sa dá zlomiť a testovanie obrany nie je jednorazová vec.
Čo je GPT-Red od OpenAI a ako pracuje?
GPT-Red je podľa OpenAI „our current best automated safety red-teaming?Cielené útočenie na systém, aby sa našli jeho slabiny skôr než ich objaví skutočný útočník. model“, teda automatizovaný útočník na preverovanie bezpečnosti. Princíp je jednoduchý: pošle modelu prompt, sleduje odpoveď a podľa nej iteratívne upravuje ďalší útok. Robí to v obrovskom rozsahu a bez ľudského operátora pri každom pokuse.
Podľa popisu na The Verge je na konci tréningu GPT-Red „a very strong attacker“, ktorý „can break nearly all models it is pitted against“. OpenAI uvádza, že prelomil aj interné a produkčné modely až po GPT-5.5.
Prečo je prompt injection stále problém aj pri silných modeloch?
Injekcia promptov je útok, pri ktorom zákerný text prinúti model ignorovať pôvodné pokyny a urobiť niečo iné: prezradiť dáta, spustiť nechcenú akciu, obísť pravidlá. To, že OpenAI musel postaviť samostatného útočníka, je priznanie, že tento typ útoku sa nedá vyriešiť jedným tréningovým prechodom.
OpenAI tvrdí, že po tréningu proti GPT-Red zlyháva GPT-5.6 Sol len v 0,05 % priamych prompt-injection útokov generovaných týmto modelom. Číslo vyzerá dobre, no platí voči útokom jedného konkrétneho testera. Reálny útočník vo firme vyzerá inak a útočí na vaše dáta, nie na benchmark.
Ak vás zaujíma mechanika samotného útoku, rozpísal som ju v článku o tom, ako prompt injection ohrozuje kódovacie nástroje. Tam vidno, prečo je táto zraniteľnosť taká zákerná: útok príde cez obsah, ktorý model spracúva, nie cez vstup od používateľa.
Práve tu sa oplatí byť opatrný pri nasadení. Ak staviate RAG?Retrieval-Augmented Generation: architektúra, kde model odpovedá na základe vyhľadaných dokumentov, nielen z toho, čo sa naučil pri tréningu. systém alebo agenta, ktorý číta externé dokumenty a maily, riešite presne to isté, čo OpenAI simuluje cez GPT-Red. Pre tímy, ktoré prototyp posúvajú do produkcie, sme postavili dvojdňový workshop o produkčnej RAG a agentových architektúrach s dôrazom na správu kontextu a bezpečnosť. Nie je to kurz pre úplných začiatočníkov; je pre CTO a architektov, ktorí už majú niečo bežať a potrebujú to spraviť spoľahlivo.
Stačí GPT-Red na zabezpečenie AI?
Nie, a OpenAI to hovorí sám. Firma prezentuje GPT-Red ako doplnok, nie náhradu. Podľa blogu OpenAI ho bude naďalej kombinovať s ľudským a treťostranným red-teamingom, viacvrstvovou obranou a monitoringom v reálnom čase.
To je najdôležitejší odkaz pre firmy. Automatizovaný útočník nájde veľa slabín rýchlo, ale nepokrýva všetko. Bezpečné nasadenie AI stojí na viacerých vrstvách:
- oddelenie dôveryhodných pokynov od nedôveryhodného obsahu, ktorý model číta,
- obmedzenie práv agenta, aby nemohol vykonať citlivú akciu bez kontroly,
- logovanie a monitoring odpovedí, aby ste odchýlku zachytili včas,
- opakované adversariálne testovanie, nie jednorazová kontrola pred spustením.
Kto tento zoznam ignoruje, riskuje presne to, čo sme videli pri úniku kódu cez AI nástroj Grok Build: nástroj robil viac, než mal, a nikto to nestrážil.
Čo z toho plynie pre slovenskú firmu v praxi?
Ak nasadzujete AI, ktorá číta externé dáta alebo koná za používateľa, berte injekciu promptov ako reálne riziko, nie ako teóriu. GPT-Red je dôkaz, že aj OpenAI potrebuje na svoje modely tvrdého útočníka. Vaše nasadenie nie je odolnejšie než ich modely.
Praktický postup je triezvy. Otestujte svoj systém adversariálne ešte pred produkciou. Nespoliehajte sa na to, že model dodávateľa je „bezpečný“; číslo 0,05 % platí pre laboratórium OpenAI, nie pre vašu integráciu. Ak nemáte interne ľudí na takýto review, existuje aj možnosť externého technického posúdenia AI architektúry vrátane bezpečnostných a compliance medzier; má zmysel najmä vtedy, keď systém už spracúva citlivé dáta a chcete nezávislý pohľad na riziká.
GPT-Red je zaujímavý technický krok. Pre firmu z neho ale neplynie pokoj, skôr pripomienka: obrana AI je priebežná práca a testovať treba vlastné nasadenie, nie veriť benchmarkom dodávateľa.
Testujete svoje AI nasadenie proti prompt injection ešte pred produkciou?
Výsledky uvidíte po hlasovaní.
Časté otázky
Znamená 0,05 % zlyhaní pri GPT-5.6, že môj firemný chatbot je v bezpečí?
Nie. To číslo platí len voči útokom, ktoré generuje samotný GPT-Red na benchmarku. Reálny útočník útočí na vaše dáta, integrácie a špecifické pokyny, nie na testovaciu množinu. Nižšie číslo znamená odolnejší základ, no vlastnú obranu a testovanie prompt injection si musíte zabezpečiť sami.
Dostanem sa k GPT-Red ako firma, alebo je to čisto interný nástroj OpenAI?
Podľa doterajších informácií je GPT-Red interný model OpenAI na tréning a preverovanie vlastných modelov, nie produkt na predaj. Firmy z neho profitujú nepriamo: cez odolnejšie verzie ako GPT-5.6. Vlastné red-teaming testovanie nasadenej aplikácie musíte robiť inými nástrojmi alebo s dodávateľom.
Ako mám otestovať odolnosť vlastnej AI aplikácie proti prompt injection?
Testovanie začnite pri architektúre: oddeľte dôveryhodné pokyny od používateľského vstupu, obmedzte akcie agenta a logujte pokusy. Potom systematicky posielajte adversariálne prompty a sledujte, kedy model obíde pravidlá. Ide o opakovaný proces, nie jednorazovú kontrolu, keďže útoky sa vyvíjajú spolu s nasadením.
Prečo je prompt injection väčšie riziko pri AI agentoch než pri obyčajnom chate?
Agent nielen odpovedá, ale aj koná: číta súbory, volá API, spúšťa akcie. Ak zákerný text prinúti model ignorovať pôvodné pokyny, agent môže prezradiť dáta alebo spustiť nechcenú operáciu. Rozsah škody je preto väčší než pri chate, kde ide zväčša len o nevhodnú odpoveď.
Ak OpenAI natrénoval GPT-5.6 proti vlastnému útočníkovi, nie je to len testovanie na sebe samom?
Táto výhrada je oprávnená. GPT-Red generuje útoky podľa toho, čo sa naučil, takže tréning odolnosti prebieha voči jednému typu testera. Model sa tak zlepší proti známym vzorom, no nová trieda útokov, ktorú tester nepokrýva, môže stále fungovať. Preto testovanie obrany nie je jednorazová vec.
Oplatí sa čakať na GPT-5.6 kvôli bezpečnosti, alebo mám riešiť obranu sám?
Odolnejší základný model pomáha, no nenahradí obranu na vašej strane. Väčšina rizika vzniká pri integrácii: prístup k dátam, oprávnenia agenta, spracovanie vstupu. Prechod na novšiu verziu berte ako jeden prvok, nie ako záruku. Bez vlastného testovania a limitov oprávnení ostane aplikácia zraniteľná bez ohľadu na verziu.
Diskusia
Zatiaľ tu nie sú žiadne komentáre. Buďte prvý.
Čítajte ďalej
Viac zo sekcie Vývoj & inžinierstvo →
Vibe coding riziká: keď nikto nevie, čo AI napísala
Vibe coding zrýchľuje prototypy, ale v produkcii prináša neudržateľný kód, zraniteľnosti a nejasnú zodpovednosť. Kde má zmysel a kde ho zastaviť.

Únik kódu cez AI nástroj: Grok Build nahrával repozitáre
Výskumníci ukázali, že Grok Build ticho zabalil a nahral celé Git repozitáre vrátane histórie a secrets do cloudu. SpaceXAI upload pozastavil. Je to lekcia o tom, ako auditovať AI nástroje pred nasadením do produkcie.

Lokálne embeddingy a rerankery: kedy sa oplatia viac
Ak už platíte za ChatGPT alebo iné LLM API, lokálny jazykový model málokedy dáva zmysel. Lokálne embeddingy a rerankery v RAG architektúre áno: šetria peniaze, chránia dáta a zlepšujú kvalitu vyhľadávania.

Claude Code v produkcii: cloud VM a súboj s Codexom
Anthropic pridal do Claude Code cloud VM bez samostatného poplatku za compute, kým Codex od OpenAI rýchlo rastie. Rozoberám, čo to mení pre reálne produkčné nasadenie.

Optimalizácia nákladov na AI agentov: kde miznú
Väčšina zbytočných nákladov na AI agentov nevzniká pri výbere modelu, ale pri neefektívnej práci s kontextom, cache a paralelizáciou agentov. Praktický pohľad na to, kde peniaze reálne unikajú.

Ghostcommit: útok cez PNG obchádza AI kontrolórov kódu
Výskumníci ukázali útok Ghostcommit: pokyny skryté v PNG obrázku obídu AI code reviewery a prinútia kódovacieho agenta exfiltrovať obsah súboru .env. Rozoberám, ako funguje a čo s tým.