OpenAI zet een eigen AI-hacker in om zijn modellen te verharden. Het bedrijf bouwde GPT-Red, een intern red-team-model dat zelf prompt-injectie-aanvallen verzint, en gebruikte de zwakke plekken die het vond om GPT-5.6 fors weerbaarder te maken, meldt MIT Technology Review.
Prompt-injectie is een verborgen instructie die je eigen data tot commando's maakt: een regel in een mail, een webpagina of een bestand die een model iets laat doen wat jij niet vroeg. Dat risico speelt precies op zodra je een AI-agent op onbetrouwbare, externe data loslaat. Voor een Nederlands bedrijf dat agents op inkomende post, klantvragen of documenten zet, verschuift dit nieuws de rekensom niet naar 'opgelost', maar het laat wel zien hoe hard er aan de modelkant aan die verdediging wordt getrokken en waar de grens nog ligt.
Een aanvaller die nooit moe wordt
GPT-Red leert via adversarieel zelfspel tegen verdedigende modellen: het krijgt de opdracht die modellen te prompt-injecten in nagebootste inzetomgevingen zoals webbrowsen, e-mail en code-editing. Elke keer dat een aanval slaagt, gaat die terug in de training van de verdediger, waarna beide een ronde beter worden. Na een jaar trainen levert dat een model op dat aanvalspatronen vindt die mensen missen.
In interne tests vindt GPT-Red een geslaagde aanval in 84 procent van de scenario's, tegen 13 procent voor menselijke red-teamers. Onderweg stuitte het op een nog onbekende aanvalssoort die OpenAI 'fake chain of thought' noemt: valse stappen in de redeneerketen van een model schuiven, zodat het zijn eigen conclusie de verkeerde kant op trekt.

Wat het met GPT-5.6 doet
De winst is meetbaar. Tegen GPT-5, het model uit augustus 2025, landde meer dan 90 procent van GPT-Reds sterkste aanvallen. Bij GPT-5.6 Sol zakt dat naar minder dan 23 procent, meldt MIT Technology Review. Voor directe prompt-injectie noemt OpenAI zes keer minder mislukkingen dan bij modellen van vier maanden eerder.
Nul is het niet. Ongeveer 3,8 procent van de sterkste prompt-injectie-aanvallen komt nog door. Hoe concreet dat wordt, liet OpenAI in eigen kantoor zien: GPT-Red manipuleerde daar een AI-aangestuurde verkoopautomaat, paste prijzen aan en annuleerde bestellingen van andere klanten voordat de fix erin zat.
De verdediging zit een laag lager
GPT-Red blijft intern; OpenAI wil de offensieve capaciteit niet vrijgeven. Dat een frontier-model na een jaar trainen nog altijd een deel van de aanvallen doorlaat, is de kern van dit verhaal: het model verhardt, maar het dicht het gat niet. In dezelfde periode dat GPT-5.6 breed uitrolde, vond het Britse AI Security Institute universele jailbreaks in datzelfde GPT-5.6-model die offensieve cybertaken ontsluiten. En een test waarin 26 modellen vrijwel allemaal in verborgen webinstructies trapten liet al zien dat een duurder of nieuwer model geen betere beveiliging koopt.
De verdediging die telt zit dus niet in de modelkeuze, maar een laag lager: strikte toegangscontrole, contextisolatie en het uitgangspunt dat elke externe input vijandig kan zijn. Wie een agent op onbetrouwbare data zet, kan het antwoord van het model niet als het slot van de beveiliging behandelen.
Veelgestelde vragen
Agents die veilig blijven werken
Laat je AI-agents los op mail, web of documenten? Ik denk mee, ontwerp en bouw het hele traject, van strakke toegangscontrole en contextisolatie tot self-hosted waar dat kan, zodat een verborgen instructie geen bedrijfsdata meeneemt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
