两个网络安全 AI,两种命运:OpenAI 发布 GPT-5.5-Cyber,而 Anthropic 的 Mythos 仍处于封禁状态

OpenAI 发布迄今最锋利的网络安全模型

2026 年 6 月 22 日,OpenAI 将其能力最强的攻击性安全模型从限量预览推向正式发布,并将其与"Daybreak"网络安全计划下的两个新项目捆绑在一起。这款名为 GPT-5.5-Cyber 的模型,是专门为漏洞发现、漏洞利用代码生成和红队演练而调校的变体——而这些正是该公司通用模型被刻意设计去拒绝的工作。

据 SiliconANGLE 报道,此次发布打包了三样东西:GPT-5.5-Cyber 完整模型本身、一项名为"Patch the Planet"的开源补丁计划,以及一个允许安全厂商将该模型整合进自家产品的"Daybreak Cyber Partner Program"(Daybreak 网络安全合作伙伴计划)。对最开放变体的访问权限,依然被锁定在 OpenAI 的"Trusted Access for Cyber"(网络安全可信访问)审核框架之后——你无法直接登录就让它写一段漏洞利用代码。

值得我们多看一眼的,不只是这个模型本身,还有它发布的时机。就在十天前,一家竞争对手几乎一模一样的能力被强制下线。这两种结局之间的对比,才是本周最具揭示性的 AI 治理故事。

真正的新东西是什么

最核心的变化在于能力与分发的结合。据 heise online 和 SiliconANGLE 报道,GPT-5.5-Cyber 如今取消了一部分通常会卡住双重用途网络安全请求的安全摩擦,但仅限于已通过身份与信任核查的账户。该模型被描述为能够发现一个漏洞、审视其上下文,并"启动一个补丁周期"——开发修复方案、在沙盒环境中测试,并准备好交由人工审核。

最后这一点很关键。"Patch the Planet"由包括 Trail of Bits 和 HackerOne 在内的合作伙伴共同运营,资助研究人员直接与广泛使用的开源项目维护者协作。SiliconANGLE 报道称已有超过 30 个项目签约加入,点名了 cURL、Go、Python、Sigstore 和 pyca/cryptography。关键在于,OpenAI 表示每一项发现在送达维护者之前,都会由一名人类安全工程师审核——这等于承认,用机器生成的漏洞报告淹没志愿性的开源团队,可能弊大于利。

合作伙伴计划读起来就像一份企业安全名人录。SiliconANGLE 列出了 Accenture、Cisco、CrowdStrike、IBM、Okta、Palo Alto Networks 和 Wiz;heise 和 Decrypt 则给出了一份大约 28 到 30 家公司的名单,其中还包括 Cloudflare 和 Sophos 等名字。具体名单因媒体而异,这本身就是一个有用的提醒:对于一场如此新鲜的发布,早期报道仍在沉淀之中。

人人都在引用的那个数字

驱动各路头条的数字,是 85.6% 的 CyberGym 得分,高于标准版 GPT-5.5 的 81.8%。heise 和 SiliconANGLE 对这两个数字的报道完全一致,因此这一内部跃升——一个网络安全调校版模型击败了它的通用版同胞——看起来是可靠的。

CyberGym 在各家来源中被描述为一个基准测试:AI 智能体必须在一个庞大的代码库中定位一个已知漏洞;heise 指出它测试的是发现能力,而非打补丁能力。所以即便照字面理解,85.6% 说明的是该模型擅长发现漏洞,而未必擅长安全地修复它们——这一区别恰恰是补丁周期的营销话术倾向于模糊的地方。

与 Anthropic 如今被搁置的 Mythos 模型的比较则更站不住脚,值得明确点出。Decrypt 将 Mythos 5 的 CyberGym 得分定为 83.8%;heise 报道为 83.1%;更早的行业报道还抛出过其他数字。一个不足两分、各家媒体甚至无法达成一致的差距,算不上有意义的排名。Decrypt 自己也指出,"在任何基准测试上,不足两分的差距通常都不值一提"。请把"OpenAI 的模型在网络安全上最强"当作一种营销说法,而非既定事实。

真正的故事:两个模型,两种命运

这才是真正把这次发布与一次例行模型更新区分开来的地方。OpenAI 和 Anthropic 都打造了具备严肃攻击性网络能力的前沿模型。双方都试图把访问权限限制在经过审核的防御者手中。它们却走向了截然相反的结局。

据 Decrypt 报道,Anthropic 的 Mythos 系列模型在 6 月 12 日被下线,此前特朗普政府以国家安全担忧为由发布了一项紧急出口管制指令。相比之下,OpenAI 的 GPT-5.5-Cyber 顺利发布——Decrypt 直接给出了原因:OpenAI"在发布前与联邦机构进行了部署前测试——包括 Center for AI Standards and Innovation(AI 标准与创新中心)和 Office of the National Cyber Director(国家网络总监办公室)"。换句话说,OpenAI 似乎是在开门之前、而非之后,就已经与政府就其做法达成了共识。

这是一堂披着产品发布外衣的治理课。按所有被引用的基准来看,两款模型之间的能力差距微不足道。但结局的差距却是巨大的:一家公司正在把 CrowdStrike 和 Cisco 招为合作伙伴,而另一家的模型却处于封禁状态。决定性的变量不是模型质量——而是流程、次序,以及你先和谁谈。

炒作与现实

在任何人宣布防御方已经获胜之前,有几点需要警惕。第一,访问被设了门槛,并不意味着双重用途问题就此消失。一个能可靠地发现并武器化漏洞的模型,其危险程度恰恰与其有用程度成正比;整个安全叙事完全建立在审核框架能否站得住脚之上,而"Trusted Access"的强度,取决于其最薄弱的那个已验证账户。本文所引用的来源,没有一家独立审计过这道门槛。

第二,基准所能证明的,比公告所暗示的要少。在受控环境中找到一个已知漏洞,与在一个真实、混乱的活跃网络中进行防御——或者大规模安全地交付补丁——并不是一回事。Patch the Planet 上的人工审核要求,正是对这套自动化尚不被信任无人值守运行的一种含蓄承认。

第三,那套竞争性话术——"击败了被封禁的模型"——在起修辞作用。Mythos 已下线、得分差距又在噪声范围之内,OpenAI 便得以为一场其主要对手已被移出的较量加冕称王。Decrypt 还指出,目前的报道是单方面的:它没有找到任何直接来自政府或专家、批评 OpenAI 此次发布的评论。然而,没有公开反对,并不等同于一张干净的健康证明。

总结

实质性的新闻是真实的:OpenAI 确实向一批经过审核的防御者发布了一款真正强大的攻击性安全模型,同时还推出了一个有名有姓、合作伙伴严肃可信的开源补丁计划。85.6% 的 CyberGym 数字和 81.8% 的基线在各家可靠报道中是一致的;而与 Mythos 的比较则不然,应当带着怀疑去看待。

但真正经得起时间检验的教训,与基准无关。两家实验室打造了几乎相同的危险能力,而那家在发布之前就与监管机构沟通的公司还在运营,没有这么做的那家则已下线。在前沿 AI 最敏感的角落,治理流程——而非模型质量——正在成为决定你能否发布的关键。这是一个值得关注的转变,因为它对那些最善于在华盛顿斡旋的实验室的奖赏,丝毫不亚于那些最善于构建模型的实验室。