OpenAI GPT-Red, la sicurezza entra nell’economia dell’AI
Nel tentativo di anticipare i rischi e migliorare la robustezza dei modelli di intelligenza artificiale, OpenAI ha annunciato l’attivazione di un sistema interno di red teaming automatico chiamato GPT-Red. Questo strumento è stato progettato per testare, attaccare e generare casi di vulnerabilità negli stessi modelli prima del loro rilascio. Il sistema è già stato utilizzato per rafforzare la resistenza del modello GPT-5.6 Sol alle cosiddette "prompt injection", una minaccia particolarmente problematica per gli agenti autonomi.
Che cos'è il red teaming?
Il red teaming è una tecnica tradizionalmente utilizzata nel settore della cibersicurezza, in cui si simula un attacco su un sistema per identificare debolezze e vulnerabilità. Quando esteso al campo dell’AI, il red teaming assume un ruolo fondamentale per testare e migliorare la resilienza dei modelli di intelligenza artificiale contro intrusioni nascoste o manipolazioni esterne.
GPT-Red rappresenta una versione automatizzata di questa pratica. Al contrario di team umani costosi e limitati nel numero di test, GPT-Red può generare un numero estremamente elevato di attacchi e scenari, offrendo un sistema di valutazione e addestramento scalabile. L’approccio ha permesso a OpenAI di addestrare GPT-5.6 Sol a resistere meglio alle istruzioni nascoste (prompt injection) senza compromettere la sua capacità di rispondere a richieste legittime.
Perché la sicurezza conta sull’economia aziendale?
La scelta di OpenAI di mettere in primo piano la sicurezza non riguarda solo aspetti tecnici, ma ha forti implicazioni economiche. Le aziende che intendono integrare agenti autonomi o strumenti con AI avanzata – ad esempio per il customer care, la compliance, o l'analisi finanziaria – non acquistano solo potenza di calcolo. Acquistano, e pagano, per affidabilità operativa. Se il modello può essere indotto a compiere azioni dannose o riservare informazioni sensibili, il prezzo da pagare potrebbe andare ben oltre un semplice danno reputazionale.
OpenAI spiega che l’utilità di GPT-Red in termini economici risiede nel ridurre i costi di gestione del rischio. Ad esempio, se un agente di AI esegue un pagamento fraudolento o raccoglie dati sensibili manipolando un’istruzione esterna, l’azienda potrebbe dover affrontare spese legali o regolamentari molto elevate. Il red teaming, quindi, diventa un investimento strategico, una sorta di "assicurazione" per modelli autonomi sempre più avanzati.
GPT-Red: un investimento su larga scala
Secondo la descrizione fornita da OpenAI, GPT-Red è stato sottoposto a una fase di addestramento su una scala di calcolo paragonabile ad alcuni dei cicli di post-training più grandi del Gruppo. Il livello di risorse allocate testimonia la presa di coscienza strategica dell’azienda nell’investire direttamente in strumenti di sicurezza anziché lasciarli a una strategia secondaria.
GPT-Red non verrà rilasciato al pubblico. La decisione è volta a evitare il rischio che un modello addestrato a generare attacchi possa essere utilizzato in modo improprio dagli utenti esterni. Questo conferma che il sistema di red teaming serve esclusivamente allo sviluppo e alla protezione interna, mantenendo al massimo livello i benefici del lavoro senza esporsi a rischi esterni.
Le minacce della prompt injection
Il problema più urgente che GPT-Red affronta è rappresentato dalle istruzioni malevole nascoste (prompt injection), che possono infiltrarsi in email, in file, nella risposta di uno strumento oppure in pagine web. Queste istruzioni, se ignorate, possono condurre il sistema ad agire malevolmente, ad esempio caricando dati riservati, condividendo chiavi di sicurezza oppure effettuando azioni non richieste.
Sebbene questi aspetti siano conosciuti, una ricerca pubblicata il 16 marzo 2026 da un team di ricercatori, tra cui Mateusz Dziemian, ha portato alla luce dati inquietanti: in una competizione dedicata alle indirect prompt injection, il tasso di successo degli attacchi ha variato dallo 0,5% all’8,5%, con un numero impressionante di 272 mila tentativi effettuati e 8.646 attacchi riusciti, in 41 scenari diversi.
I dati rivelano un dettaglio importante: una maggiore capacità generale del modello non garantisce necessariamente una maggiore sicurezza. Questo significa che un modello più potente potrebbe non essere automaticamente più difficile da attaccare.
L’efficacia in test
In una dichiarazione del 15 luglio 2026, OpenAI ha sostenuto che GPT-5.6 Sol, grazie all’utilizzo di GPT-Red, mostra una capacità considerevolmente più alta rispetto al benchmark precedente in termini di robustezza. Il modello registra infatti sei volte meno fallimenti sul test di direct prompt injection più difficile, con un tasso di errore rilevato solo dello 0,05% su un vasto insieme di ambienti di robustezza.
Ancora più significativo, la società rivela che i propri sistemi di protezione bloccano circa dieci volte più attacchi dannosi rispetto ai modelli precedenti in contesti di sicurezza informatica. Anche se le cifre si riferiscono a test interni, esse mettono in evidenza la direzione seguita da OpenAI: migliorare la sicurezza senza limitare le funzionalità del modello.
Una distinzione importante: resistenza vs. rigidità
Una delle considerazioni critiche da parte di OpenAI riguarda la distinzione tra migliore resistenza e maggior rigidità. Spesso, i modelli di AI rifiutano di eseguire richieste legittime per evitare potenziali minacce, ma questa tendenza può ridurre notevolmente l’utilità di un sistema, creando frustrazioni per gli utenti finali. OpenAI sottolinea invece che i guadagni in sicurezza di GPT-5.6 non derivano semplicemente da un atteggiamento più rigido verso le richieste. Il modello è in grado di distinguere meglio tra attacchi e input validi, aumentando di conseguenza la sua utilità operativa.
Caso studio: il distributore automatico
Un esempio che OpenAI utilizza per illustrare le potenzialità di GPT-Red riguarda un agente sperimentale incaricato di gestire un distributore automa in ufficio, modellato sull’iniziativa Project Vend di Andon Labs. Secondo OpenAI, il sistema ha generato vulnerabilità come: far variare i prezzi di prodotti costosi al minimo di 0,50 dollari; ordinare articoli di alto costo vendendoli allo stesso prezzo; e persino cancellare ordini di altri utenti.
L’azienda ha dichiarato che le vulnerabilità sono state segnalate e