不看代码找漏洞？GPT-5.4-Cyber太猛，巨头们紧急开会

来源：市场资讯

（来源：雷科技）

憋了一个星期，OpenAI的大新闻终于是来了。

昨天晚上，哥们本来正躺在床上刷短视频，结果一打开Chrome信息流，满屏都是什么终结者觉醒、AI蝗灾之类的惊悚标题。

点进去仔细一看，原来是OpenAI悄悄整了个大活，他们表示为了迎接未来几个月不断推出的更强大的模型，准备对现有模型进行微调，以支持防御性网络安全用例，就这样搞出了一个专门针对网络安全的新模型，代号GPT-5.4-Cyber。

虽然不是大家最期待的GPT-6.0......但有新消息，肯定还是比没有新消息要好。

（图源：OpenAI）

这新闻一出来，Reddit论坛直接就炸了锅，一帮吃瓜群众信誓旦旦地说，这是OpenAI对Claude Mythos的反击，以后别说咱们的网页代码，连底裤都要被机器看穿了，没有什么东西是安全的！

作为常年在科技圈摸爬滚打的老油条，小雷我看到这些言论只能无奈摇头。

先不说GPT-5.4-Cyber目前在小范围推广，仅向授权过的网络安全专业人士开放访问权限的事实，都2026年了，大厂随便发个新模型，大家还是这么容易被牵着鼻子走，被一波波的焦虑营销割了韭菜。

为了弄清楚这玩意到底是个啥，是不是真的要砸了安全企业的饭碗，今天咱们就来掰扯掰扯，这帮科技巨头到底在搞什么名堂。

先说说今天的主角，GPT-5.4-Cyber到底是个什么来头。

按照官方的说法，GPT-5.4-Cyber是GPT-5.4的一个优化版本，该模型拥有更少的功能限制，更强大的网络安全能力，它降低了合法网络安全工作的准入门槛，并为高级防御工作流程提供了新功能

以前咱们用的那些通用大模型，你让它写个情书或者查个菜谱还行，真让它去干黑客的活，它连后门在哪都找不到。

但这次发布的GPT-5.4-Cyber新增了二进制逆向工程功能，这玩意不需要看软件的原始代码，直接拿编译好的底层文件就能像庖丁解牛一样，扒出里面藏着的安全漏洞。

（图源：OpenAI）

而且为了方便安全专家干活，OpenAI还特意把它的脾气调教得很温顺。以前你问通用模型怎么找系统漏洞，它还会大义凛然地拒绝回答，现在这个优化版直接就是知无不言，随便你怎么做压力测试都没问题。

如果你有心，拿这玩意反编译Apple TV再开源或许都没啥问题。

只是苹果的律师函，就得你自己吃下了。

当然了，这种危险品肯定不能随便放在大街上让人捡走，所以OpenAI只把它开放给了经过认证的安全大厂和企业团队，主打一个圈内人生态防御。

想要体验的话，个人用户可以通过chatgpt.com/cyber验证身份，企业可以通过OpenAI相关人员为其团队申请可信访问权限，所有通过此流程审核的客户都将获得现有模型的改进版本。

（图源：OpenAI）

有趣的是，在GPT-5.4-Cyber发布一周前，Anthropic刚刚发布了自家的Claude Mythos预览版。

只不过他们更加极端，上来就是一句模型“太危险”，直接不开放给公众使用。

从测试报告来看，Mythos在内部测试的时候直接杀疯了。这模型完全靠自己，把各大操作系统和浏览器里的未知漏洞扒了个底朝天，甚至还顺手挖出了开源系统里藏了二十多年的骨灰级漏洞。

（图源：Anthropic）

因为这玩意的攻击性实在太强，Anthropic高层直接吓出了一身冷汗，只敢拉着微软谷歌在自家的封闭网络里悄悄用。

以前找漏洞，那是顶尖黑客端着咖啡熬红了眼，几万行代码里一行一行地找。

现在好了，AI一天二十四小时不睡觉，找漏洞比你找表情包还快。攻击方的门槛被彻底打碎，防守方要想活命，就只能同样雇佣AI来修补漏洞。

这两大模型一明一暗，直接把网络安全带进了一个机器对决机器的新时代。

面对这场堪比工业革命的剧变，各路神仙的反应也是相当精彩。

那群巨魔Reddit用户们，属于是一边瑟瑟发抖怕被降维打击，一边调侃说，这批AI大厂终于发现帮高中生写作业赚不到钱，开始对企业安全这块肥肉下嘴了。

（图源：reddit）

然而政府部门和金融巨头们是真的慌了，据卫报报道，英国人工智能部长卡尼什卡·纳拉扬正在积极召集英国各大银行、保险公司及交易所的代表，美国财政部长斯科特 · 贝森特也在召集华尔街各大银行开会，讨论这类模型的潜在网络风险。

他们的谨慎完全可以理解，上个月，以色列初创公司Tenzai的人工智能工具参加了一系列精英黑客大赛，其模型表现优于超过99%的人类参赛者；谷歌更是在去年发现了多个会在运行时直接连接大模型生成恶意脚本的样本。

（图源：福布斯）

先不说人有没有被赋能，这网络攻击倒是先吃上赋能了。

至于你说，我们有没有必要开始杞人忧天，或是主动排斥大模型的应用，认为新技术肯定会带来毁灭性的安全风险。

我觉得是没必要啦。

据福布斯报道，网络安全公司Root Evidence CEO杰里迈亚·格罗斯曼表示，目前业内遭遇的网络攻击中，只有10%到20%的实际攻击始于利用软件漏洞，大多数攻击都是通过网络钓鱼或社会手段入侵计算机网络的。

也就是说，剩下那80%-90%的攻击，根本用不上什么千万算力的超级大模型。

根据Sophos《2025年勒索软件状况报告》显示，源于操作因素引发的攻击占比更高，其中缺乏专业知识占40.2%，人员/能力不足占39.4%。

（图源：Sophos）

至于排名第一的入侵方法是什么？是黑客拿到了员工泄露的账号密码。

紧随其后的是什么？是伪装成老板给你发钓鱼邮件，骗你点开链接。

没错，这就是行业的真相。

要我说，GPT-5.4-Cyber和Claude Mythos预览版的出现，确实把一个残酷却现实的问题摆在了所有人面前：

人工智能驱动的网络攻击浪潮正在到来。

在执行效率和速度上，机器攻防超越人类已经是不争的事实。但它并没有凭空创造出多少新威胁，它只是把旧有的攻击手段变得更快更便宜了，更像是一个给黑产团队打杂的无情自动化工具。

正因如此，我们不能神化这些AI厂商做出的贡献。

杰里迈亚·格罗斯曼表示，Claude Mythos识别出的大量漏洞，让安全公司难以合理安排漏洞修复的优先级，正在导致大量漏洞积压。

什么能力太强，什么危害人类，什么AI蝗灾。这些科技巨头们天天在各种社交媒体、发布会上吹嘘自家即将推出的大模型多牛，能挖出多深的漏洞，其实他们心思精明得很。

（图源：雷科技）

他们就是要把AI包装成无所不能的神，顺便把行业门槛拉高，让你觉得如果和他们合作，自己就能高枕无忧，没有和他们达成合作，你的公司明天就会倒闭。

挺好笑的。

当然了，面对这波浪潮，企业们多少还是要上点心。即便两家大厂都说，不会在进攻能力远超当前防御体系时放开大模型的使用，但是至少不能像以前那样，给边缘应用打个补丁平均要拖两百多天。

这种靠人工慢吞吞打补丁的节奏，在机器扫射面前完全就是活靶子。

而对于咱们普通人来说，你的警惕心就是最好的安全防护。

说到底，网络世界里最薄弱的环节永远不是代码，而是坐在屏幕前面的人。与其天天跟着大厂的PPT瞎恐慌，不如先把自己的密码改得复杂点。

毕竟，再聪明的AI，也叫不醒一个非要给骗子打钱的糊涂蛋。