Broncode op een beeldscherm met rood en wit oplichtende regels.
Nieuws16 juli · 00:224 min leestijd

OpenAI's AI-hacker GPT-Red hardt GPT-5.6 tegen prompt-injectie

OpenAI bouwde GPT-Red, een intern AI-model dat via zelfspel prompt-injectie-aanvallen verzint. De gevonden zwakke plekken maakten GPT-5.6 fors weerbaarder, maar nul is niet gehaald: architectuur blijft je eigen verantwoordelijkheid.

OpenAI zet een eigen AI-hacker in om zijn modellen te verharden. Het bedrijf bouwde GPT-Red, een intern red-team-model dat zelf prompt-injectie-aanvallen verzint, en gebruikte de zwakke plekken die het vond om GPT-5.6 fors weerbaarder te maken, meldt MIT Technology Review.

Prompt-injectie is een verborgen instructie die je eigen data tot commando's maakt: een regel in een mail, een webpagina of een bestand die een model iets laat doen wat jij niet vroeg. Dat risico speelt precies op zodra je een AI-agent op onbetrouwbare, externe data loslaat. Voor een Nederlands bedrijf dat agents op inkomende post, klantvragen of documenten zet, verschuift dit nieuws de rekensom niet naar 'opgelost', maar het laat wel zien hoe hard er aan de modelkant aan die verdediging wordt getrokken en waar de grens nog ligt.

Een aanvaller die nooit moe wordt

GPT-Red leert via adversarieel zelfspel tegen verdedigende modellen: het krijgt de opdracht die modellen te prompt-injecten in nagebootste inzetomgevingen zoals webbrowsen, e-mail en code-editing. Elke keer dat een aanval slaagt, gaat die terug in de training van de verdediger, waarna beide een ronde beter worden. Na een jaar trainen levert dat een model op dat aanvalspatronen vindt die mensen missen.

In interne tests vindt GPT-Red een geslaagde aanval in 84 procent van de scenario's, tegen 13 procent voor menselijke red-teamers. Onderweg stuitte het op een nog onbekende aanvalssoort die OpenAI 'fake chain of thought' noemt: valse stappen in de redeneerketen van een model schuiven, zodat het zijn eigen conclusie de verkeerde kant op trekt.

Het logo en woordmerk van OpenAI, het bedrijf achter GPT-Red. Bron: OpenAI / Wikimedia Commons (Public domain)
Het logo en woordmerk van OpenAI, het bedrijf achter GPT-Red. Bron: OpenAI / Wikimedia Commons (Public domain)

Wat het met GPT-5.6 doet

De winst is meetbaar. Tegen GPT-5, het model uit augustus 2025, landde meer dan 90 procent van GPT-Reds sterkste aanvallen. Bij GPT-5.6 Sol zakt dat naar minder dan 23 procent, meldt MIT Technology Review. Voor directe prompt-injectie noemt OpenAI zes keer minder mislukkingen dan bij modellen van vier maanden eerder.

Nul is het niet. Ongeveer 3,8 procent van de sterkste prompt-injectie-aanvallen komt nog door. Hoe concreet dat wordt, liet OpenAI in eigen kantoor zien: GPT-Red manipuleerde daar een AI-aangestuurde verkoopautomaat, paste prijzen aan en annuleerde bestellingen van andere klanten voordat de fix erin zat.

De verdediging zit een laag lager

GPT-Red blijft intern; OpenAI wil de offensieve capaciteit niet vrijgeven. Dat een frontier-model na een jaar trainen nog altijd een deel van de aanvallen doorlaat, is de kern van dit verhaal: het model verhardt, maar het dicht het gat niet. In dezelfde periode dat GPT-5.6 breed uitrolde, vond het Britse AI Security Institute universele jailbreaks in datzelfde GPT-5.6-model die offensieve cybertaken ontsluiten. En een test waarin 26 modellen vrijwel allemaal in verborgen webinstructies trapten liet al zien dat een duurder of nieuwer model geen betere beveiliging koopt.

De verdediging die telt zit dus niet in de modelkeuze, maar een laag lager: strikte toegangscontrole, contextisolatie en het uitgangspunt dat elke externe input vijandig kan zijn. Wie een agent op onbetrouwbare data zet, kan het antwoord van het model niet als het slot van de beveiliging behandelen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Agents die veilig blijven werken

Laat je AI-agents los op mail, web of documenten? Ik denk mee, ontwerp en bouw het hele traject, van strakke toegangscontrole en contextisolatie tot self-hosted waar dat kan, zodat een verborgen instructie geen bedrijfsdata meeneemt.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Verken verder

Gerelateerde artikelen

Brits AI-instituut vindt universele jailbreaks in OpenAI’s GPT-5.6
Nieuws
5 min

11 jul 08:11

Brits AI-instituut vindt universele jailbreaks in OpenAI’s GPT-5.6

Het Britse AI Security Institute vond universele jailbreaks in OpenAI’s GPT-5.6 die offensieve cybertaken ontsluiten, net nu het model breed uitrolt. Waarom de veiligheidsremmen van je AI-leverancier een filter zijn, geen garantie.

Multimodale AI: hoe een model beeld, document en geluid leest
Uitgelegd
7 min

11 jul 22:19

Multimodale AI: hoe een model beeld, document en geluid leest

Een AI leest een foto niet via een los OCR-programma en kijkt er niet met een oog naar. Ze knipt het beeld in patches, maakt er tokens van, en voorspelt gewoon het volgende token. Zie hoe dat werkt en wat het kost.

OpenAI erkent fouten in ChatGPT Work-lancering, Sol verwijderde data zonder toestemming
Nieuws
4 min

11 jul 14:14

OpenAI erkent fouten in ChatGPT Work-lancering, Sol verwijderde data zonder toestemming

OpenAI erkent dat de lancering van ChatGPT Work en GPT-5.6 Sol misging en documenteert in zijn systeemkaart dat het model virtuele machines verwijderde zonder toestemming. Voor wie de agent wil uitrollen, is dat een hard governance-signaal.

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview
Nieuws
4

10 jul 14:35

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview

Het AI Now Institute toont met 'Friendly Fire' hoe Claude Code en Codex tijdens een beveiligingsreview via een gemanipuleerde README zelf een kwaadaardig programma op de host uitvoeren, zonder om toestemming te vragen.

OpenAI lanceert ChatGPT Work: AI-agent die uren kantoorwerk zelfstandig afmaakt
Nieuws
4 min

10 jul 08:12

OpenAI lanceert ChatGPT Work: AI-agent die uren kantoorwerk zelfstandig afmaakt

OpenAI lanceert ChatGPT Work, een AI-agent die zelfstandig uren aan kantoorwerk werkt en afgeronde documenten oplevert. Daarmee krijgt de agent-race met Claude Cowork en Microsoft Copilot een derde speler, draaiend op het nieuwe model GPT-5.6.

OpenAI brengt GPT-5.6 Sol breed uit en claimt 54 procent minder tokens op agentic coding
Nieuws
3 minBijgewerkt om 20:15

9 jul 18:24

OpenAI brengt GPT-5.6 Sol breed uit en claimt 54 procent minder tokens op agentic coding

OpenAI heeft topmodel GPT-5.6 Sol breed uitgebracht via ChatGPT, de API en Codex. Sam Altman noemt het 54 procent zuiniger op agentic coding-taken, maar onafhankelijke tests laten zien waarom je dat cijfer beter zelf controleert.