OpenAI 推出网络安全专用 AI 模型 GPT-5.4-Cyber，对标 Claude Mythos

随着AI在软件安全和漏洞检测中的角色日益增强，OpenAI近期被曝正在内测一款专注于网络安全任务的新模型——GPT-5.4-Cyber。这一举动明显受到Anthropic推出的网络安全模型Claude Mythos的刺激。此前，Anthropic在小范围内发布Mythos，该模型已经成功在各类关键系统中识别出大量高危漏洞。为了回应市场和安全社区的需求，OpenAI也决定推出专门的安全模型，而不是直接将其整合进下一代通用旗舰模型Spud中。

模型定位与发布策略

• GPT-5.4-Cyber被设计为一个独立的网络安全工具，专注于自动化漏洞识别与防御性研究
• OpenAI采用了与Anthropic类似的小范围内测策略，只开放给少数经过筛选的合作伙伴
• 该模型不会向公众开放，以避免被滥用于恶意目的
• OpenAI还设立了名为“Trusted Access for Cyber”的计划，提供1000万美元的API credits，支持合法的防御性研究

这种发布方式表明，OpenAI正尝试将最敏感的能力进行分级管理，优先提供给具备专业背景的防守方，而非广泛开放。这一做法被部分观察者比喻为“AI时代的核扩散治理”。

GPT-5.4-Cyber与Claude Mythos的性能对比

根据最新的SWE-bench基准测试结果：

• Claude Mythos Preview在多个测试中表现优异：
  • 在SWE-bench Verified测试中达到93.9%，显著高于Claude Opus 4.6的80.8%
  • 在SWE-bench Pro（n=731）中，Mythos得分77.8%，比Opus 4.6高出24.4个百分点
  • 在多语言和多模态（视觉+代码）任务中也展现出领先优势

虽然GPT-5.4的具体分数尚未完全披露，但从SWE-bench的比较中可以看出，Claude Mythos在当前的网络安全AI模型中仍处于领先地位。GPT-5.4-Cyber的表现尚待公开数据验证。

安全风险与治理挑战

• 当前AI模型已经具备自主寻找远程代码执行漏洞的能力
• 安全社区内部对是否应该公开这类能力存在争议
  • 一方认为应优先向防守方开放，以便及时修复漏洞
  • 另一方担心这类技术可能被滥用，导致新的安全威胁
• OpenAI和Anthropic都在尝试控制模型的访问权限
• 模型的“漏洞优先”策略引发对披露节奏的讨论：
  • 是否应先通知厂商，还是公开漏洞
  • 如何防止攻击者抢先获取信息

SANS的研究员Rob Lee指出，AI模型已经具备在老旧代码库中自动枚举代码缺陷的能力，这一趋势无法逆转。Palo Alto Networks的高管也认为，限制访问虽可延缓，但无法阻止其他模型在未来追上这一能力。

未来趋势与行业影响

• GPT-5.4-Cyber和Claude Mythos的推出标志着AI正式进入网络攻防实战阶段
• 这类AI模型的能力已经远远超出写代码或补全代码的范畴
  • 可以自动构建PoC（概念验证）
  • 生成完整的利用链
  • 提出修补建议
• 行业可能面临新的分工模式：
  • 模型用于漏洞挖掘和防御分析
  • 人类专家负责策略制定与风险控制
• 随着AI自动化能力增强，网络安全的节奏将大幅加快
• 企业和政府机构需重新思考如何应对这一新的技术现实

这些变化可能引发对AI伦理、安全控制和责任机制的深入讨论。模型能力越强，越需要对其使用进行审慎管理，尤其是在涉及系统性安全的场景中。

小结

• OpenAI发布GPT-5.4-Cyber，是其首次推出专用网络安全模型
• 与Anthropic的Claude Mythos形成直接竞争关系
• 模型能力可能涉及自动化漏洞识别、利用链生成和防御建议
• 发布策略上采用限制访问和筛选机制，避免滥用
• AI在网络安全领域的角色正在发生根本性转变，可能重塑整个行业的运作方式

这场AI安全模型的竞争不仅是技术能力的较量，更是对如何在开放与控制之间取得平衡的试探。未来如何制定统一的AI安全标准，将成为关键议题。