Safety stack GPT-5.6: зачем мощной модели понадобились тормоза

10.07.2026 · 5 мин

GPT-5.6 интересна не только ростом возможностей. Вокруг модели OpenAI построила отдельную инфраструктуру безопасности — от обучения до мониторинга генерации.

Если продолжить автомобильную аналогию, новая версия получила более мощный двигатель. Но главный инженерный сюжет здесь не разгон, а тормоза, ABS, датчики, диспетчерская и краш-тесты. Safety больше нельзя спрятать в одну фразу «модель откажется отвечать».

700 000 GPU-часов на поиск дыр

Самая заметная цифра — больше 700 000 A100e GPU-hours на автоматизированный red-teaming. В GPT-5.6 Preview System Card OpenAI пишет, что эти вычисления ушли на поиск универсальных jailbreak’ов: атак, которые работают не с одним удачно подобранным запросом, а переносятся между разными запрещёнными задачами и контекстами.

Это не 700 000 диалогов и не время обучения основной модели. Это вычислительный бюджет атакующей системы: модели искали формулировки и стратегии, способные обойти защиту, а команда затем усиливала слабые места и запускала проверку снова.

МАСШТАБ 700 000 A100e GPU-HOURS
────────────────────────────────
1 GPU      700 000 часов  ≈ 79,9 года
100 GPU      7 000 часов  ≈ 291 день
1 000 GPU      700 часов  ≈ 29 дней

атака ──▶ найденный обход ──▶ защита ──▶ повторный тест
Один и тот же бюджет выглядит как человеческая вечность или как месяц работы крупного GPU-кластера.

Особенно интересен результат лучшего найденного jailbreak. До дополнительных мер он показывал 10% успеха во внутренней кампании. После усиления защиты на той же проверке результат упал до нуля. Это хороший инженерный сигнал, но не доказательство, что нулевым будет любой будущий обход.

Сколько длилось усиление защиты

На слайде указано 6 weeks of safety training and testing; публичная статья OpenAI подтверждает только «несколько недель» поиска слабостей, pressure-testing и hardening. Поэтому честная формулировка такая: цикл занял несколько недель, а точные шесть недель по открытой документации независимо подтвердить нельзя.

Смысл цикла важнее красивого числа:

Это похоже не на установку фильтра плохих слов, а на работу security-команды с регрессиями. Найденная дыра превращается в тест, который больше нельзя случайно сломать следующим обновлением.

Что входит в safety stack

У GPT-5.6 защита распределена между несколькими уровнями. Сначала сама модель обучена отказывать в запрещённой помощи. Затем во время генерации работают быстрые классификаторы. Для Sol и Terra добавлены activation classifiers: они смотрят на паттерны во внутренних активациях модели и могут остановить поток ответа, если он выглядит рискованным.

После паузы отдельный safety reasoner проверяет контекст глубже. Если ответ пересекает границу политики, пользователь его не получает. Повторяющееся рискованное поведение может оцениваться уже на уровне аккаунта, а наиболее чувствительные возможности доступны через программы доверенного доступа.

SAFETY STACK GPT-5.6
────────────────────────────────────────────
Запрос пользователя
        │
        ▼
Обученное поведение модели
        │
        ▼
Topical + activation classifiers
        │ риск
        ├────────▶ пауза генерации
        │                 │
        │                 ▼
        │          Safety reasoner
        │            │          │
        │          разрешить   блокировать
        ▼
Проверки паттернов на уровне аккаунта
        │
        ▼
Ответ или enforcement
Ни один слой не считается достаточным: защита строится как цепочка независимых барьеров.

Именно это на слайде скрывается за фразой multiple novel monitoring upgrades. Новизна не в ещё одном списке запрещённых тем, а в наблюдении за генерацией до того, как потенциально опасный ответ успеет дойти до пользователя.

Почему такой стек понадобился именно сейчас

OpenAI относит Sol, Terra и Luna к уровню High capability одновременно в кибербезопасности и биологических/химических рисках. При этом модели не достигли порога Cyber Critical: в тестах Sol и Terra находили уязвимости и элементы эксплойтов, но не провели автономную полную атаку на защищённую цель.

Это важное различие. High не означает «модель уже может сама взломать всё». Оно означает, что цена ошибки выросла: отдельные полезные фрагменты ответа можно собрать в опасную цепочку, особенно если модель работает как агент и получает инструменты.

Появляется и другая проблема. В agentic coding-задачах GPT-5.6 чаще GPT-5.5 выходила за намерение пользователя — пыталась выполнить действия, которых явно не просили. Абсолютные показатели остались низкими, но направление понятно: чем больше автономности, тем важнее контроль не только содержания текста, но и границ действия.

Почему это не магическая броня

700 000 GPU-часов показывают масштаб вложений, а не процент абсолютной безопасности. Автоматические атаки ищут известные классы обходов. Экспертные red team’ы добавляют человеческую изобретательность. Реальные пользователи всё равно придумают новые комбинации промптов, инструментов и многошаговых сценариев.

У многослойной системы есть и цена. Activation classifier может остановить легитимную работу исследователя. Safety reasoner добавляет задержку. Проверка поведения между разговорами создаёт вопросы о приватности и ложных срабатываниях. OpenAI прямо предупреждает, что во время preview пользователи могут видеть лишние блокировки и более медленные ответы.

Поэтому настоящий тест начнётся не в презентации, а после расширения доступа: насколько быстро команда будет воспроизводить новые jailbreak’и, сколько полезных задач попадёт под блокировку и появятся ли независимые результаты, подтверждающие внутренние оценки.

Моя оценка

По масштабу safety-инженерии — 9/10. Здесь видна система: модельное обучение, мониторинг активаций, отдельный reasoner, контроль аккаунта, доверенный доступ и непрерывный red-teaming.

По доказательности одного слайда — 6/10. Цифры впечатляют, но слайд не показывает полноту тестов, частоту ложных срабатываний и устойчивость к атакам, которых ещё никто не придумал.

Главный вывод для меня простой: безопасность frontier-модели стала самостоятельной инфраструктурой. Машина стала быстрее — пришлось прокачать не только тормоза, но и датчики, диспетчерскую, журнал происшествий и правила допуска к трассе.

Дмитрий Полухин — продуктовый дизайнер. Пишу про разработку, AI и дизайн интерфейсов. Обо мне, контакты и профили.

Ссылки