AIエージェントが日常業務に入り込む場面が増えています。OpenAIは2026年7月15日、外部から受け取る情報に混入した悪意ある指示を自動で検査する内部ツール「GPT-Red」を発表しました。現時点で一般提供と日本向け提供は確認できません。

GPT-Redの安全性検査を説明するイメージ

📌 このページで押さえられること(元報道との差分)

OpenAIの公式発表は性能改善の数値を中心に構成されています。このページでは、導入担当者や利用者の判断に直結する情報を補足します。

  • 評価数値の限界: 公表されたスコアはOpenAIが設計した評価環境による結果です。実際の業務システムでの挙動を保証するものではなく、独立した第三者検証は現時点で存在しません。
  • 内部専用ツールゆえの空白: GPT-Redは外部に提供されないため、利用者側がこのツールを使って自社環境を検査することはできません。安全確認は各ベンダーへの問い合わせと自社の権限設計が主な手段になります。
  • 利用側の権限管理にも役割がある: AIエージェントに与える操作範囲を必要最小限に絞ると、誤作動した際に及ぶ範囲を限定できます。

AIエージェントと外部テキストの問題

AIエージェントとは、ユーザーの指示をもとにメールを読んだり、Webを検索したり、ツールを操作したりする自律的なAIシステムのことです。便利な反面、外部から受け取るテキストの中に「別の指示」を埋め込まれると、意図しない動作をするリスクがあります。この攻撃手法は「プロンプトインジェクション」と呼ばれる。

外部のWebページやAPI応答に悪意ある指示が混入するケースは「間接的プロンプトインジェクション」と呼ばれます。Googleもこのリスクを指摘しており、仕組みは間接的プロンプトインジェクションの記事で解説しています。

GPT-Redの仕組み

「レッドチーム」は、攻撃者の視点からシステムの弱点を探す検査です。OpenAIのGPT-Redはこれを自動化し、AIエージェントが不適切な指示に反応するかを繰り返し確認します。人間だけでは見落とし得るパターンを、広い範囲で検出する役目です。

GPT-Redが重点的に検査するのは、エージェントへの「直接的な指示すり替え」です。ユーザーが与えた本来の目標が外部入力で別の目標へ書き換わらないかを確かめます。対象はメール、Webページ、ツールの応答。

🕒 評価数値の読み方

GPT-Redを用いたGPT-5.6の訓練では、最も難しい直接的な指示すり替え評価において、4か月前のOpenAI自社最高実運用モデルの6分の1という失敗率を達成したとされています。別の評価指標では、GPT-5.6 Solの失敗率が0.05%だったとも報告されています。

ただし0.05%という数字は、OpenAI自身が設計した評価環境での結果です。実際の利用場面における安全性を直接保証するものではありません。評価に含まれないパターンや日本語・多言語の文脈については、公開情報だけで同等の結果を確認できません。

✅ 利用者が確認したいこと

AIエージェントを使う際は、必要最小限の権限だけを付与する設定を選びます。メールの読み取りだけが必要な場面で送信権限も与えると、誤作動した場合に影響が広がります。管理画面でスコープと接続先を定期的に見直す運用。

ファイルの削除、外部への送信、購入といった取り消しが困難な操作には、人間の承認を求める設定を使います。「Human-in-the-loop」と呼ばれる仕組みで、実行前に確認画面を挟む形です。

利用中のAIエージェントサービスについて、外部テキストに混入した命令への対策、評価方法、公開しているテスト結果をベンダーに確認します。GPT-RedはOpenAIの内部ツールであり、利用者が直接使える機能ではありません。導入時には第三者の検証や監査の有無も確認材料になる。

参考資料