OpenAI ha alzato di nuovo l’asticella sul fronte della sicurezza dei suoi modelli. Il 15 luglio 2026 il laboratorio di San Francisco ha presentato GPT-Red, un modello di red-teaming completamente automatico addestrato per attaccare altri modelli e scoprirne le vulnerabilità prima che questi arrivino nelle mani di utenti e aziende. L’obiettivo non è costruire uno strumento offensivo, ma esattamente il contrario: usare un attaccante artificiale sempre più abile per rendere i modelli di produzione, a partire da GPT-5.6, molto più resistenti agli attacchi di prompt injection. Se ti stai chiedendo perché una delle aziende più importanti del settore dedichi enormi risorse a insegnare a un’intelligenza artificiale come ingannarne un’altra, la risposta sta in un problema tanto tecnico quanto urgente, che riguarda da vicino chiunque usi assistenti e agenti basati sui grandi modelli linguistici.
Perché il red-teaming manuale non riesce più a stare al passo
Il red-teaming è la pratica con cui un gruppo di esperti prova deliberatamente a violare un sistema per individuarne i punti deboli. Nel mondo dell’intelligenza artificiale significa costruire prompt e scenari capaci di far sbagliare un modello, spingendolo a rivelare dati riservati, a eseguire azioni non autorizzate o a ignorare le proprie regole di sicurezza. Per OpenAI questa attività resta fondamentale, perché è il modo più diretto per scoprire le falle prima del rilascio pubblico. Il problema è che il red-teaming affidato solo alle persone non è scalabile. Progettare ed eseguire questi test richiede tempo, e questo limita la velocità con cui è possibile individuare nuove modalità di attacco e trasformarle in difese più solide.
C’è poi una questione di quantità. Gli esercizi condotti dagli esperti umani producono esempi preziosi di attacchi riusciti, ma non generano il volume e la varietà di dati avversariali necessari per migliorare davvero la robustezza di un modello attraverso l’addestramento. A complicare il quadro, molte delle valutazioni di robustezza usate finora sono ormai sature: i modelli più recenti le superano quasi sempre, e questo rende difficile capire dove si nascondano ancora le debolezze. Serviva quindi un metodo capace di far crescere la sicurezza alla stessa velocità con cui crescono le capacità dei modelli. GPT-Red nasce proprio per colmare questo divario.
Che cos’è GPT-Red e come è stato addestrato
GPT-Red è descritto da OpenAI come il suo miglior modello automatico di red-teaming per la sicurezza, il punto d’arrivo di una linea di ricerca portata avanti negli ultimi mesi. Funziona in modo simile a un attaccante umano: lavora verso un obiettivo, invia un prompt, osserva come il modello bersaglio risponde e poi itera, affinando la strategia fino a trovare una falla. La differenza è la scala. OpenAI ha addestrato GPT-Red con una quantità di calcolo paragonabile a quella di alcuni dei suoi più grandi cicli di post-training, una potenza descritta come senza precedenti per un’attività dedicata esclusivamente alla sicurezza.
Il cuore del metodo è l’apprendimento per rinforzo tramite self-play. In pratica GPT-Red e un insieme di modelli difensori vengono addestrati contemporaneamente su un’ampia gamma di scenari. GPT-Red riceve una ricompensa quando riesce a provocare un fallimento valido, per esempio una prompt injection andata a segno, mentre i difensori vengono premiati se resistono all’attacco e portano comunque a termine il compito originale. È una corsa agli armamenti controllata: man mano che i difensori diventano più robusti, l’attaccante è costretto a scoprire attacchi sempre più forti e diversificati. Per rendere realistico questo addestramento, i ricercatori hanno costruito una vasta collezione di ambienti in cui una prompt injection potrebbe essere inserita, ciascuno con un proprio modello di minaccia che definisce cosa GPT-Red può controllare, per esempio una porzione di un file locale, il banner di una pagina web, il corpo di un’email o l’output di uno strumento, e cosa conta come attacco riuscito.
Un attaccante potente tenuto sotto chiave
Al termine dell’addestramento GPT-Red si è rivelato un avversario davvero temibile, capace di violare quasi tutti i modelli contro cui è stato messo alla prova, sia interni sia di produzione, fino a GPT-5.5 compreso. Proprio per questo OpenAI ha scelto di tenerlo separato dai modelli che rilascia al pubblico. La logica è chiara: mantenere le capacità offensive addestrate appositamente in GPT-Red lontane dai malintenzionati, e allo stesso tempo trasferire la robustezza appresa nei modelli destinati agli utenti. Dopo aver completato l’addestramento dell’attaccante, il team lo ha usato per generare prompt injection da inserire nell’addestramento di GPT-5.6, che è così diventato molto più resistente proprio agli attacchi del suo avversario artificiale.
Cosa significa prompt injection e perché ti riguarda
Per capire l’importanza di questo lavoro devi sapere cos’è una prompt injection. I sistemi di intelligenza artificiale moderni non lavorano più in isolamento: leggono pagine web, accedono ad applicazioni collegate, aprono file locali e usano strumenti esterni. Queste capacità sono indispensabili per svolgere compiti reali, ma aprono anche nuove opportunità agli aggressori. Un malintenzionato può nascondere un’istruzione costruita ad arte dentro un’email, una pagina web, la risposta di uno strumento o un repository di codice, con l’obiettivo di dirottare il comportamento del modello. L’esempio citato da OpenAI è emblematico: un’istruzione occulta che spinge il modello a caricare dati sensibili su un server esterno controllato dall’attaccante.
Il rischio cresce con la diffusione degli agenti AI, cioè i sistemi capaci di agire in autonomia, navigare, scrivere codice ed eseguire operazioni per conto tuo. Più un assistente ha il permesso di fare cose concrete, più diventa appetibile per chi vuole sfruttarlo. Ecco perché la robustezza contro la prompt injection non è un dettaglio accademico, ma una condizione necessaria per affidare a questi sistemi compiti delicati come gestire la posta, gli acquisti o l’accesso a informazioni riservate. Non a caso OpenAI aveva già mostrato una crescente attenzione alla trasparenza sul tema, aprendo al pubblico il suo Safety Evaluations Hub con i risultati dei test di sicurezza dei suoi modelli.
I risultati: GPT-5.6 molto più robusto, con dati alla mano
Il vero banco di prova di GPT-Red è la robustezza che riesce a trasferire ai modelli di produzione. Secondo OpenAI, GPT-5.6 Sol è oggi il suo modello più resistente alle prompt injection, con un numero di fallimenti sei volte inferiore sul benchmark più difficile di prompt injection diretta rispetto al miglior modello di produzione di appena quattro mesi prima. Su un ampio insieme di ambienti di robustezza, il modello più recente fallisce solo nello 0,05 per cento degli attacchi diretti generati da GPT-Red, un valore che dà l’idea di quanto si sia ristretto lo spazio di manovra per gli aggressori.
Interessante anche il confronto con gli esseri umani. Utilizzando una versione replicata di un’arena di prompt injection indiretta descritta in letteratura scientifica, con scenari e obiettivi diversi da quelli usati in addestramento, GPT-Red ha trovato attacchi validi contro GPT-5.1 nell’84 per cento dei casi, contro il 13 per cento raggiunto dai red-teamer umani. Un altro esempio riguarda una classe di attacchi diretti scoperta da una versione iniziale di GPT-Red, i cosiddetti attacchi Fake Chain-of-Thought, che simulano un ragionamento fasullo per ingannare il modello: avevano tassi di successo superiori al 95 per cento su GPT-5.1 e sono ora scesi sotto il 10 per cento su GPT-5.6 Sol.
Gli attacchi nel mondo reale
OpenAI non si è limitata ai benchmark. In un caso di studio, GPT-Red è stato messo contro un distributore automatico gestito da un agente AI negli uffici dell’azienda, un esperimento simile al noto Project Vend realizzato con Andon Labs. Dopo aver affinato gli attacchi in simulazione, l’attaccante li ha trasferiti sull’agente reale, raggiungendo tutti e tre gli obiettivi malevoli fissati: cambiare il prezzo di un prodotto costoso portandolo al minimo consentito di 0,50 dollari, ordinare un nuovo articolo da oltre 100 dollari e rivenderlo a 0,50 dollari, e cancellare l’ordine di un altro cliente. Le vulnerabilità sono state segnalate e nuove difese sono già in fase di test. In un secondo esperimento, GPT-Red ha attaccato un agente Codex CLI basato su un modello più piccolo su dieci scenari di esfiltrazione di dati, dimostrandosi più efficace e più efficiente in termini di token rispetto a una configurazione di riferimento.
Un punto merita attenzione particolare. Un modello può sembrare più sicuro semplicemente rifiutando più richieste o diventando meno capace, ma questa non è vera robustezza. Per questo OpenAI ha valutato sia le capacità di frontiera sia specifici test sui rifiuti eccessivi, verificando che le prestazioni generali restino intatte mentre la resistenza agli attacchi migliora. In altre parole, i progressi arrivano da una maggiore capacità di respingere istruzioni malevole, non dal rifiuto di richieste legittime. È un equilibrio delicato, se pensi alle capacità mostrate da GPT-5.6 Sol, arrivato perfino a dimostrare una congettura matematica aperta da decenni, un modello che deve restare potente e allo stesso tempo affidabile.
Un volano per la sicurezza, e cosa aspettarsi ora
La visione che OpenAI mette sul tavolo è quella di un volano, un meccanismo che si autoalimenta. Negli ultimi sei mesi il laboratorio ha addestrato modelli di red-teaming progressivamente più forti, precursori di GPT-Red, usandoli nell’addestramento di ogni modello di produzione a partire da GPT-5.3. Il risultato è che ogni nuova versione è diventata più robusta della precedente. L’idea di fondo è che gli agenti AI vengono già usati per potenziare le capacità dei modelli di prossima generazione, e con GPT-Red si comincia ad applicare lo stesso principio alla sicurezza: i modelli di oggi aiutano a rendere quelli di domani più robusti, allineati e affidabili.
Va detto con chiarezza che questo approccio non sostituisce le altre difese. OpenAI stessa sottolinea che il red-teaming automatico affianca, e non rimpiazza, il lavoro degli esperti umani, il contributo di terze parti, le protezioni stratificate e il monitoraggio in tempo reale. È un tassello di una strategia più ampia, non una soluzione definitiva. Il tema, del resto, è centrale per l’intero settore: anche altri laboratori stanno investendo in metodi condivisi per misurare e ridurre la vulnerabilità dei modelli, segno che la sicurezza degli agenti è ormai considerata una priorità competitiva oltre che etica. Questa iniziativa si inserisce nella stessa famiglia di modelli che avevi conosciuto quando OpenAI aveva presentato i modelli GPT-5.6 Sol, Terra e Luna, di cui GPT-Red rappresenta oggi la spina dorsale sul piano della robustezza.
Per chi sviluppa applicazioni e per chi usa quotidianamente assistenti basati sull’intelligenza artificiale, la notizia è incoraggiante ma non deve indurre a un falso senso di sicurezza. Nessun modello è invulnerabile, e la stessa OpenAI ammette che, man mano che il self-play cresce, emergono nuove minacce capaci di violare i modelli esistenti. La direzione, però, è quella giusta: trasformare gli attacchi in dati utili a costruire difese sempre migliori. OpenAI ha annunciato che pubblicherà nei prossimi giorni un documento tecnico con maggiori dettagli sul lavoro. Se ti occupi di sicurezza informatica, di sviluppo software o semplicemente vuoi capire come sta evolvendo l’affidabilità degli strumenti che usi, vale la pena leggere l’annuncio ufficiale di OpenAI e seguire i prossimi aggiornamenti. Continua a seguirci per restare aggiornato su come i grandi laboratori stanno affrontando la sfida più difficile dell’AI di oggi, renderla potente e sicura allo stesso tempo.
Intelligenza Artificiale Tutto su AI e machine learning