OpenAI har bygget seg en dedikert digital angripende: en stor språkmodell kalt GPT-Red, hvis eneste oppgave er å finne smutthull i selskapets øvrige AI-systemer. Systemet fungerer som en automatisert rød-lag-tester — og ifølge MIT Technology Review ble det brukt aktivt under treningen av GPT-5.6, som OpenAI slapp forrige uke.

Selvspilling som treningsmetode

GPT-Red er trent gjennom det som kalles en selvspillende forsterkningslæringsløkke. Enkelt forklart: angriperen angriper en forsvarer, forsvareren tilpasser seg, og syklusen gjentas i stor skala. Målet er å avdekke svakheter som menneskelige testerne enten ikke tenker på eller rett og slett ikke rekker over.

OpenAI beskriver tilnærmingen som sentralt i arbeidet med å gjøre modellene robuste mot virkelige cyberangrep — særlig angrep basert på prompt injection, der en ondsinnet aktør forsøker å manipulere modellens atferd gjennom spesielt utformede instruksjoner.

OpenAI har erkjent at prompt injection er «usannsynlig å noen gang bli fullstendig løst» — men GPT-Red er laget for å gjøre modellene så herdede som mulig mot nettopp dette.
OpenAIs hacker-AI angrep egne modeller 674 ganger på tre timer - Bilde 1

Hele bransjen beveger seg i samme retning

AI-mot-AI-sikkerhetstesting er ikke lenger et OpenAI-eksperiment. Ifølge tilgjengelig bransjedokumentasjon har alle de store aktørene innført lignende tilnærminger.

Microsoft har open-sourcet rammeverket PyRIT, der en LLM-basert agent angriper et målsystem gjentatte ganger mens en vurderings-motor bedømmer resultatene. Raja Sekhar Rao Dheekonda, som er med-skaper av PyRIT, har uttalt at AI-agenter gjør sikkerhetstesting dramatisk mer effektivt — én operatør kan gjennomføre hundrevis av angrep i løpet av en ettermiddag.

Google benytter et dedikert AI Red Team som simulerer trusselaktører inspirert av statlige hackere, hacktivister og innsidere. Meta bruker både interne og eksterne testere på sine åpne modeller, inkludert Llama 3.1, med evaluering på områder som cybersikkerhet, prompt injection og biologiske trusler.

674
Angrep mot Metas Llama Scout på tre timer
73 %
AI-systemer i produksjon med prompt injection-sårbarheter

Alvorlig sikkerhetsbrudd illustrerer behovet

I februar 2026 avdekket en autonom AI-agent 22 uautentiserte API-endepunkter i McKinseys interne AI-plattform Lilli. Innen to timer hadde agenten skaffet seg full lese- og skrivetilgang til databasen — og eksponert 46,5 millioner chatmeldinger, 728 000 filer og 57 000 brukerkontoer. Hendelsen er ikke bekreftet av McKinsey, men er omtalt i bransjeforskning som et illustrerende eksempel på hva automatiserte angrep kan oppnå i korthet.

En enkelt AI-agent trengte to timer på å eksponere 46,5 millioner chatmeldinger i en bedrifts AI-plattform.

Regulering setter fart på utviklingen

Bransjen presses også fra lovgivernes side. EU AI-loven krever at høyrisiko-AI-systemer gjennomgår adversarial testing — med frist i august 2026. Det gir ekstra drivkraft til investering i nettopp de metodene GPT-Red representerer.

Verktøy og rammeverk for AI-sikkerhetstesting finnes nå fra en rekke aktører: Microsofts PyRIT, NVIDIAs Garak, Promptfoo, Confident AI og Scale AI er blant de som tilbyr strukturerte angrepsrammeverk. Markedet for slike tjenester er anslått til å nå 18,6 milliarder dollar innen 2035, ifølge bransjeprognoser.

Fortsatt uløste problemer

Til tross for fremgangen er ikke bransjen i mål. OpenAI har selv erkjent at prompt injection trolig aldri vil bli fullstendig eliminert. Spørsmålet er i stedet hvor herdede modellene kan bli — og om angriperne ute i verden alltid vil ligge et skritt foran. GPT-Red er OpenAIs forsøk på å svare på det spørsmålet ved å la maskinen kjempe mot seg selv.