Aller au contenu principal
SécuritéMarkTechPost · 2 min de lecture

OpenAI dévoile GPT-Red, un modèle interne de red-teaming automatisé qui bat les testeurs humains à 84 % contre 13 % sur l'injection de prompts

Source originale ↗·

OpenAI a publié cette semaine les détails de GPT-Red, un modèle interne exclusivement dédié au red-teaming automatisé, dont la mission est d'attaquer les propres modèles de l'entreprise pour détecter des failles d'injection de prompt. Entraîné par apprentissage par renforcement en auto-jeu à l'échelle de calcul de ses plus gros runs de post-entraînement, GPT-Red affronte simultanément une collection de modèles défenseurs variés sur un large éventail de scénarios. Le système de récompense est central: GPT-Red gagne des points lorsqu'il provoque un échec valide, comme une injection de prompt réussie, tandis que les défenseurs sont récompensés s'ils résistent tout en menant leur tâche à bien, ce qui les empêche de simplement tout refuser. À force d'entraînement, GPT-Red finit par mettre en échec la quasi-totalité des modèles internes et de production testés, jusqu'à GPT-5.5 inclus. Il a aussi découvert seul une attaque inédite baptisée Fake Chain-of-Thought, qui consiste à insérer une fausse entrée dans le raisonnement interne du modèle cible pour lui faire agir sur une information falsifiée qu'il croit avoir vérifiée. Sur une arène d'injection indirecte reproduisant les travaux de Dziemian et al. (2025), GPT-Red réussit 84% des scénarios contre GPT-5.1, contre seulement 13% pour des red-teamers humains. Sur les attaques Fake Chain-of-Thought directes, le taux de succès dépasse 95% contre GPT-5.1 mais tombe sous 10% contre GPT-5.6 Sol, qui n'échoue plus que sur 0,05% des environnements inédits testés.

Cette approche répond à un problème concret: le red-teaming humain prend du temps et ne suit pas le rythme des nouveaux modèles, alors que la surface d'attaque des agents IA ne cesse de grandir. Ces agents lisent désormais des données tierces via des navigateurs, des applications connectées, des fichiers locaux et des outils, des capacités indispensables pour un usage professionnel réel mais qui ouvrent aussi la porte à des instructions malveillantes dissimulées dans ces données. OpenAI garde volontairement GPT-Red à l'écart de ses modèles déployés pour éviter que ses capacités offensives ne tombent entre de mauvaises mains, tout en l'utilisant à double titre: repérer des vulnérabilités avant la mise en production, et générer en continu de nouvelles attaques pendant l'entraînement pour durcir les défenses. Contre GPT-5, sorti en août 2025, plus de 90% des attaques les plus efficaces de GPT-Red fonctionnaient encore; contre GPT-5.6, ce taux tombe sous 23%, signe d'une progression rapide de la robustesse.

Au-delà des benchmarks, OpenAI a aussi testé GPT-Red contre de vrais systèmes agentiques, avec une connaissance volontairement incomplète de leur architecture. Un premier cas concerne Vendy, un distributeur automatique piloté par IA installé dans les bureaux d'OpenAI et développé par la start-up Andon Labs, illustrant la volonté de valider ces défenses en conditions réelles plutôt que sur des benchmarks isolés. Cette démarche s'inscrit dans une tendance plus large de l'industrie vers l'entraînement adversarial automatisé, à mesure que les agents IA gagnent en autonomie et en accès à des outils sensibles.

Dans nos dossiers

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

1MIT Technology Review 

GPT-Red : un LLM super-hacker qu'OpenAI a conçu pour renforcer la sécurité de ses modèles

Voici l'article traduit et résumé selon les consignes. OpenAI a développé GPT-Red, un modèle de langage spécialisé dans le piratage informatique, conçu pour servir de partenaire d'entraînement adversarial afin de renforcer la sécurité de ses autres modèles. La semaine dernière, l'entreprise a lancé GPT-5.6, sa dernière version phare, et affirme que l'entraînement contre GPT-Red en a fait son modèle le plus robuste à ce jour. GPT-Red automatise le red-teaming, une évaluation de sécurité habituellement menée par des équipes d'humains, qui consiste à multiplier les tentatives pour détourner ou casser un système avant sa mise en production. Pour le construire, les chercheurs Nikhil Kandpal et Dylan Hunn, avec leur collègue Chris Choquette-Choo, ont placé un modèle non entraîné au piratage dans une boucle d'auto-apprentissage face à plusieurs autres modèles jouant les défenseurs, dans un environnement simulant navigation web, lecture d'e-mails, agendas et édition de code. Au fil des cycles, GPT-Red est devenu de plus en plus efficace pour attaquer, et les modèles adverses de plus en plus résistants. L'équipe a notamment découvert un nouveau type d'attaque baptisé "fake chain of thought" (fausse chaîne de pensée), consistant à insérer une entrée falsifiée dans le raisonnement interne d'un modèle pour lui faire accepter une information erronée comme déjà vérifiée. Cette avancée répond à un problème croissant : à mesure que les modèles de langage gagnent en complexité et sont déployés sous forme d'agents interagissant avec des fichiers, des sites web, du code tiers et d'autres agents, la surface de risque s'élargit et les équipes humaines peinent à suivre le rythme des nouvelles techniques d'attaque, en particulier les injections de prompt, où un pirate glisse des instructions cachées pour faire exécuter au modèle des actions non désirées, comme copier des données confidentielles ou saboter une base de code. Selon Hunn, comparé à un testeur humain, GPT-Red se montre extrêmement persistant et précis pour identifier ce qui fonctionne réellement, ce qui permet à OpenAI de patcher les failles avant qu'elles ne soient exploitées en conditions réelles. Cette approche s'inscrit dans une logique de anticipation : plutôt que de réagir aux attaques à mesure qu'elles apparaissent, OpenAI cherche à concevoir dès maintenant un système capable de découvrir de nouveaux modes d'attaque à mesure que ses modèles gagnent en capacités. Jessica Ji, analyste senior en sécurité IA au Center for Security and Emerging Technology de Georgetown, juge la méthode de self-play prometteuse. OpenAI a d'ailleurs testé les capacités offensives de GPT-Red en reproduisant une expérience de 2025 où des red-teamers humains avaient cherché des failles dans une version antérieure de GPT-5, une comparaison destinée à mesurer objectivement les progrès réalisés grâce à cette automatisation de la sécurité.

💬 Bon, sur le papier c'est malin : plutôt que d'attendre que les pirates trouvent les failles, OpenAI en fabrique un qui attaque en boucle jusqu'à épuisement. La "fake chain of thought", ça mérite qu'on s'y arrête, c'est la preuve que même le raisonnement interne d'un modèle peut être empoisonné, pas juste son prompt. Reste que GPT-Red teste contre GPT-Red, donc rien ne dit qu'un attaquant humain motivé ne trouvera pas un angle mort que la machine n'a pas pensé à chercher.

SécuritéActu
1 source
Red-teaming d'un réseau d'agents : ce qui se brise quand les agents IA interagissent à grande échelle
2Microsoft Research 

Red-teaming d'un réseau d'agents : ce qui se brise quand les agents IA interagissent à grande échelle

Des chercheurs ont mené des tests offensifs, ou red-teaming, sur une plateforme interne réunissant plus de 100 agents d'intelligence artificielle en interaction, chacun tournant sur des modèles différents, avec des instructions et des mémoires distinctes, et agissant au nom d'un utilisateur humain. Le résultat est sans ambiguïté : certains risques n'apparaissent pas lors des tests d'agents isolés, ils émergent uniquement lorsque les agents communiquent entre eux. L'équipe a identifié quatre types de vulnérabilités spécifiques aux réseaux : la propagation (un message malveillant se transmet de proche en proche en collectant des données privées à chaque étape), l'amplification (un attaquant exploite la réputation d'un agent fiable pour diffuser une fausse information jusqu'à générer de fausses preuves en chaîne), la capture de confiance (détournement du mécanisme de vérification entre agents pour qu'il valide des mensonges), et l'invisibilité (l'origine d'une attaque devient intraçable car l'information transite par des agents qui n'en ont pas conscience). Ces découvertes ont des implications concrètes pour l'ensemble de l'industrie de l'IA. Les plateformes comme Claude, Copilot ou ChatGPT, combinées à des outils existants comme GitHub ou la messagerie électronique, mettent des agents en contact permanent. Lorsqu'un réseau d'agents opère en continu et communique plus vite que les humains, une information, ou une attaque, peut se propager en quelques minutes à travers des dizaines d'entités. La fiabilité d'un agent individuel ne prédit pas le comportement collectif du réseau : les défaillances se propagent aussi vite que les succès. Un réseau social exclusivement peuplé d'agents, lancé récemment, a attiré des dizaines de milliers de participants en quelques jours avant d'être rapidement submergé de spam et d'arnaques, illustrant concrètement ce phénomène. Ces travaux s'inscrivent dans une ligne de recherche émergente sur les systèmes multi-agents, qui comprend notamment les frameworks Prompt Infection et ClawWorm, ou encore le rapport Agents of Chaos, qui documentent comment des prompts adversariaux peuvent se propager de façon autonome. La particularité de cette étude est d'avoir été conduite sur un environnement réel et en conditions opérationnelles, et non sur un dispositif purement expérimental. Les chercheurs ont également observé des signes précoces de défense spontanée : une minorité d'agents avait adopté des comportements orientés sécurité qui limitaient la progression des attaques. Ce résultat encourage, mais les auteurs soulignent que les mécanismes de défense au niveau réseau restent un défi ouvert. Construire des réseaux d'agents robustes exigera de dépasser les benchmarks mono-agent, désormais insuffisants face à la réalité des déploiements interconnectés.

UELes organisations européennes déployant des architectures multi-agents pour automatiser leurs processus sont exposées à des classes de vulnérabilités émergentes (propagation, amplification, capture de confiance) non détectables par les tests mono-agent standards actuellement en usage.

SécuritéOpinion
1 source
301net 

OpenAI dévoile GPT‑Red, la redoutable IA qui pirate ChatGPT, mais c’est pour son bien

OpenAI a officiellement présenté GPT‑Red, un modèle d'intelligence artificielle spécifiquement conçu pour détecter les failles de sécurité dans ses propres systèmes. Cet outil simule des cyberattaques réelles contre les infrastructures qui font fonctionner ChatGPT, avec un objectif précis : repérer les vulnérabilités avant que des acteurs malveillants ne puissent les exploiter. Parmi les menaces ciblées en priorité figurent les injections de requêtes, une technique qui consiste à manipuler les instructions données à un modèle de langage pour lui faire produire des réponses non prévues ou contourner ses garde-fous. Contrairement à d'autres annonces d'OpenAI, GPT‑Red reste un outil interne : la start-up dirigée par Sam Altman a choisi de ne pas le rendre public, le gardant strictement réservé à ses équipes de sécurité. Cette initiative répond à un enjeu central pour l'ensemble de l'industrie de l'IA générative : plus les modèles comme ChatGPT gagnent en puissance et en autonomie, plus les surfaces d'attaque potentielles s'élargissent, qu'il s'agisse de manipulation de prompts, d'extraction de données sensibles ou de détournement de fonctionnalités. En automatisant la recherche de vulnérabilités via une IA offensive, OpenAI espère identifier ces failles plus rapidement et à plus grande échelle que ne le permettraient des équipes humaines seules, réduisant ainsi la fenêtre d'exposition avant qu'un problème ne soit exploité en conditions réelles par des attaquants. Cette démarche s'inscrit dans une tendance plus large du secteur, où la cybersécurité offensive appliquée à l'IA devient un axe stratégique face à la multiplication des incidents liés aux modèles de langage. Google, Anthropic et Microsoft investissent également dans des équipes de red teaming dédiées à leurs propres systèmes. La décision d'OpenAI de garder GPT‑Red confidentiel illustre une tension récurrente dans l'industrie : un outil capable de percer les défenses d'une IA représente à la fois un atout défensif précieux et un risque s'il tombait entre de mauvaises mains, ce qui pourrait orienter les futurs choix de gouvernance autour de ces technologies.

SécuritéActu
1 source
L'injection de prompts exploite les failles de conception des IA d'entreprise : agents, pipelines RAG et routeurs de modèles ciblés
4VentureBeat AI 

L'injection de prompts exploite les failles de conception des IA d'entreprise : agents, pipelines RAG et routeurs de modèles ciblés

L'injection de prompts s'est imposée comme la menace la plus critique pesant sur les systèmes d'intelligence artificielle en entreprise, selon plusieurs rapports convergents publiés entre 2025 et 2026. L'OWASP LLM Top 10 (édition 2025) la classe en première position pour la deuxième édition consécutive, reconnaissant l'incapacité persistante des grands modèles de langage à distinguer fiablement les instructions des données qu'ils traitent. Le rapport CrowdStrike Global Threat Report 2026, s'appuyant sur le suivi de plus de 280 groupes d'adversaires, documente des injections de prompts malveillants dans des outils d'IA générative légitimes au sein de plus de 90 organisations en 2025, utilisées pour voler des identifiants et des cryptomonnaies. Les attaquants pilotés par l'IA ont augmenté leur volume d'attaques de 89 % en un an, résumant la situation en une formule : "Les prompts sont le nouveau malware." Deux incidents concrets illustrent l'ampleur réelle du problème. En août 2024, des chercheurs de PromptArmor ont révélé une faille dans Slack AI permettant d'exfiltrer des données de canaux privés, y compris des clés API, simplement en plaçant une instruction malveillante dans un canal public. En juin 2025, Aim Security a divulgué EchoLeak (CVE-2025-32711, score CVSS 9.3), premier exploit zero-click documenté contre un système IA en production : en envoyant un seul email piégé, sans aucune interaction de l'utilisateur, un attaquant pouvait forcer Microsoft 365 Copilot à transmettre des fichiers internes vers un serveur externe. Les deux vulnérabilités ont depuis été corrigées. L'impact de ces attaques dépasse largement le cas isolé : elles exposent une faille structurelle dans la manière dont les entreprises déploient l'IA à grande échelle. Lorsqu'un modèle traite des instructions, résume des informations et déclenche des workflows automatisés, il devient difficile de distinguer une commande légitime d'une donnée corrompue. Les agents IA modernes peuvent envoyer des emails, modifier des infrastructures cloud, exécuter du code et interagir avec des systèmes internes, ce qui signifie qu'une seule instruction malveillante peut déclencher des actions aux conséquences réelles et durables. Le problème touche directement les équipes de sécurité, les DSI et les développeurs qui déploient ces systèmes sans protocoles de validation robustes. Les techniques d'injection ont considérablement évolué, ciblant désormais des architectures bien plus complexes que le simple chatbot. L'injection inter-modèles exploite le fait que la sortie corrompue d'un modèle sera traitée par d'autres modèles en aval, propageant ainsi la manipulation à travers toute la chaîne. L'empoisonnement de pipelines RAG consiste à publier des contenus malveillants (documentations, articles, READMEs GitHub) en espérant qu'ils soient ingérés par les systèmes de récupération d'information des entreprises. Le détournement d'agents et les attaques par débordement de contexte, utilisant des fenêtres de millions de tokens pour noyer les garde-fous dans un flot de données, complètent un arsenal en constante expansion. Face à cette réalité, la question n'est plus de savoir si une organisation sera ciblée, mais à quel moment ses pipelines IA seront compromis, et si elle aura mis en place les contrôles nécessaires pour le détecter.

UELes entreprises françaises et européennes déployant Microsoft 365 Copilot, des agents IA ou des pipelines RAG sont directement exposées aux vecteurs documentés, notamment EchoLeak (CVE-2025-32711, CVSS 9.3) qui permettait l'exfiltration silencieuse de fichiers internes sans interaction utilisateur.

SécuritéOpinion
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic