OpenAI가 GPT-5.5의 바이오 안전망을 한 번에 뚫는 유니버설 jailbreak를 공개 모집한다. 4월 28일 테스트 시작, 7월 27일 마감까지 — 초청제 레드티머만 합법적으로 시도할 수 있는 새 보상 프로그램.
결론부터 말하면 OpenAI는 오늘부터 GPT-5.5의 바이오 안전 가드레일을 직접 겨냥한 유료 레드티밍을 운영한다. 다섯 개 바이
오 질문을 단 하나의 프롬프트로 모두 응답시키는 "유니버설 탈옥"을 가장 먼저 입증한 연구자에게 25,000달러를 지급하며, 신청은 4월 23일부터 6월 22일까지 받고 실제 테스트는 4월 28일에 시작해 7월 27일에 종료된다.
바이오 버그바운티는 왜 지금 등장했나
OpenAI는 이번 프로그램을 GPT-5.5의 prep-of-concern(POC) 분류 정책과 직접 묶어 발표했다. POC는 생물·화학·핵·방사능(CBRN) 영역에서 모델이 의도적·우발적으로 위험 지식을 누설할 가능성을 정량 평가하는 내부 기준이며, GPT-5.5는 출시 시점에 "high biological capability" 단계에 진입했다고 회사가 명시했다. 그 결과 모델 응답에는 다단계 안전 분류기와 실시간 모니터링이 동시에 작동하고 있는데, 외부 연구자가 통합 가드레일을 한 번에 우회할 수 있는지를 검증해 달라는 것이 이 프로그램의 핵심 동기다.
즉, 단일 jailbreak가 다섯 개 바이오 안전 질문에 모두 통한다면 그 우회법은 "고립된 결함"이 아니라 안전 스택의 구조적 약점에 가깝다. 그래서 보상금이 보너스가 아니라 정책 결정의 입력값으로 쓰인다.
참가자가 풀어야 할 다섯 질문 챌린지
테스트 환경은 새 채팅 세션에서 시작한다. 참가자는 단일 프롬프트를 입력해 모델이 사전 정의된 다섯 개 바이오 안전 질문에 모두 답하도록 만들어야 하고, 자동 모더레이션 차단·백엔드 알람·답변 거부가 한 번도 발생해서는 안 된다. 부분 성공도 평가 대상이지만 최고 보상은 한 프롬프트가 다섯 질문을 모두 통과시켰을 때만 지급된다.
테스트 시작
2026년 4월 28일 — 초청 레드티머에게 전용 플랫폼 액세스가 순차 발급된다.
신청 마감
2026년 6월 22일 — rolling acceptance, 자격 검토 후 NDA 하에 온보딩.
테스트 종료
2026년 7월 27일 — 약 13주간 운영, 최종 결과는 OpenAI 안전 보고서에 반영.
최고 보상
25,000달러 — 다섯 질문 유니버설 탈옥을 가장 먼저 입증한 1인. 부분 성공은 재량 보상.
초청제·NDA 운영, 일반 버그바운티와 무엇이 다른가
기존 OpenAI 버그바운티(HackerOne 운영)는 누구나 신청할 수 있고 결과가 일정 기간 후 공개되는 구조다. 반면 GPT-5.5 바이오 버그바운티는 초청제(invite-only) + NDA 일괄 적용이라는 점에서 결정적으로 다르다. 신청서에는 바이오 도메인 경력, 안전 연구 이력, 기관 소속 등이 요구되고, 합격자도 프롬프트·완성문·발견 사실 일체를 공개하지 못한다.
이 폐쇄성은 양면성을 가진다. 한쪽에서는 "공개 카피캣 jailbreak"를 차단해 실제 위험 노출을 줄일 수 있다. 다른 한쪽에서는 안전 연구 커뮤니티가 OpenAI의 결과 발표를 검증할 방법이 줄어든다. 이 구조는 Anthropic이 2024년 운영한 ASL 보상이나 Google DeepMind의 sapphire program과 비슷한 흐름으로 평가된다.
기술적으로 무엇을 측정하나
"다섯 질문 한 프롬프트"라는 조건은 단순한 트로피 설정이 아니다. 단일 프롬프트가 한 번의 KV 캐시·시스템 프롬프트 컨텍스트 안에서 다중 우회 효과를 발휘한다는 뜻이고, 이는 GPT-5.5의 안전 미세조정·외부 분류기·런타임 모니터가 공통 표면(common surface)을 공유한다는 가설을 검증한다. 따라서 평가 지표는 단일 응답 합격 여부가 아니라 다음 세 가지가 함께 측정된다.
평가 지표 3종
- Jailbreak universality — 다섯 질문 모두에 적용되는 단일 프롬프트인가
- Bypass depth — 안전 미세조정·외부 분류기·런타임 모니터를 동시에 우회하는가
- Reproducibility — 새 세션에서 동일 프롬프트가 안정적으로 재현되는가
바이오 도메인을 콕 짚은 이유
2025년부터 OpenAI·Anthropic·DeepMind는 모델의 위험 수준을 자체 카드(model card)에 공개해 왔는데, GPT-5.5는 처음으로 "치명적 바이오 위협 시나리오"에서 전문가 수준 가이드 능력에 도달했다고 자체 평가됐다. 이 등급에서 회사는 사전 위험 완화(prep-of-concern mitigation)를 의무화하며, 그 구체적 수단이 바로 다층 분류기와 외부 검증이다. 이번 버그바운티는 외부 검증 슬롯에 25,000달러짜리 인센티브를 꽂아 둔 셈이다.
또한 4월 6~7일 Frontier Model Forum이 OpenAI·Anthropic·Google 3사의 공동 위협 인텔리전스 공유 체계를 발표한 흐름과 무관하지 않다. 단일 회사의 단일 모델만 보호하던 안전 작업이, 모델 간·회사 간 공통 위협 표면을 다루는 단계로 옮겨가고 있다.
개인적으로는 "초청제 + NDA + 단일 프롬프트 평가"라는 구조가 가장 중요한 시그널이라고 본다. 안전 연구가 카드뉴스용 데모에서 벗어나, 산업 표준 정량 검증으로 옮겨가고 있다는 뜻이다. 다만 결과가 공개되지 않는다는 점은 여전히 부담이다. 외부 학계가 동일 모델로 같은 평가를 재현할 수 없다면 검증 가능한 안전(verifiable safety)이라기보다 "선언된 안전(declared safety)"에 머문다는 비판은 피하기 어렵다.
한국 안전 연구자에게는 어떤 의미인가. 국내에서도 KAIST, 서울대, 네이버, 카카오 등이 사내 LLM 안전 연구를 강화하는 흐름이다. 이번 프로그램은 (1) 외부 레드티밍을 단순한 윤리 검토가 아닌 "정량 표준" 단위로 끌어올리는 사례이고, (2) NDA 기반 운영이 어떻게 산업 안전 결과를 만들 수 있는지 보여주는 사례이며, (3) AI 안전 연구자가 단일 분야(예: 바이오) 도메인 지식까지 갖춰야 한다는 점을 분명히 한다. 한국 안전 연구 커뮤니티가 외부 카운터파트와 합법적으로 협업할 수 있는 구조를 어떻게 만들 것인가가 후속 과제다.
자주 묻는 질문 (FAQ)
Q1. 누구나 신청할 수 있나?
아니다. 바이오 분야 연구·안전 경력이 있는 외부 레드티머만 초청 대상이고, OpenAI 자체 검증을 통과해야 플랫폼에 온보딩된다.
Q2. 보상금 25,000달러는 누가 받나?
다섯 개 바이오 안전 질문 모두에 통하는 단일 프롬프트(유니버설 jailbreak)를 가장 먼저 입증한 연구자다. 부분 성공은 OpenAI 재량으로 별도 보상이 책정된다.
Q3. 결과는 공개되나?
개별 프롬프트와 응답은 NDA로 비공개다. 다만 OpenAI는 통합된 안전 보고서·블로그 등에 익명·집계된 형태로 결과를 반영하겠다고 밝혔다.
Q4. ChatGPT 일반 사용자에게 미치는 영향은?
직접적인 모델 성능 변화는 없지만, 발견된 우회 패턴은 안전 미세조정·외부 분류기 업데이트로 반영된다. 결과적으로 일반 채팅 응답에서 위험 도메인 거부 정책이 더 정교해질 가능성이 높다.