不看代碼找漏洞？GPT-5.4-Cyber太猛，巨頭們緊急開會

憋了一個星期，OpenAI的大新聞終于是來了。

昨天晚上，哥們本來正躺在床上刷短視頻，結果一打開Chrome信息流，滿屏都是什么終結者覺醒、AI蝗災之類的驚悚標題。

點進去仔細一看，原來是OpenAI悄悄整了個大活，他們表示為了迎接未來幾個月不斷推出的更強大的模型，準備對現有模型進行微調，以支持防御性網絡安全用例，就這樣搞出了一個專門針對網絡安全的新模型，代號GPT-5.4-Cyber。

雖然不是大家最期待的GPT-6.0......但有新消息，肯定還是比沒有新消息要好。

（圖源：OpenAI）

這新聞一出來，Reddit論壇直接就炸了鍋，一幫吃瓜群眾信誓旦旦地說，這是OpenAI對Claude Mythos的反擊，以后別說咱們的網頁代碼，連底褲都要被機器看穿了，沒有什么東西是安全的！

作為常年在科技圈摸爬滾打的老油條，小雷我看到這些言論只能無奈搖頭。

先不說GPT-5.4-Cyber目前在小范圍推廣，僅向授權過的網絡安全專業人士開放訪問權限的事實，都2026年了，大廠隨便發個新模型，大家還是這么容易被牽著鼻子走，被一波波的焦慮營銷割了韭菜。

為了弄清楚這玩意到底是個啥，是不是真的要砸了安全企業的飯碗，今天咱們就來掰扯掰扯，這幫科技巨頭到底在搞什么名堂。

新增二進制逆向工程功能，但只給專家用

先說說今天的主角，GPT-5.4-Cyber到底是個什么來頭。

按照官方的說法，GPT-5.4-Cyber是GPT-5.4的一個優化版本，該模型擁有更少的功能限制，更強大的網絡安全能力，它降低了合法網絡安全工作的準入門檻，并為高級防御工作流程提供了新功能

以前咱們用的那些通用大模型，你讓它寫個情書或者查個菜譜還行，真讓它去干黑客的活，它連后門在哪都找不到。

但這次發布的GPT-5.4-Cyber新增了二進制逆向工程功能，這玩意不需要看軟件的原始代碼，直接拿編譯好的底層文件就能像庖丁解牛一樣，扒出里面藏著的安全漏洞。

（圖源：OpenAI）

而且為了方便安全專家干活，OpenAI還特意把它的脾氣調教得很溫順。以前你問通用模型怎么找系統漏洞，它還會大義凜然地拒絕回答，現在這個優化版直接就是知無不言，隨便你怎么做壓力測試都沒問題。

如果你有心，拿這玩意反編譯Apple TV再開源或許都沒啥問題。

只是蘋果的律師函，就得你自己吃下了。

當然了，這種危險品肯定不能隨便放在大街上讓人撿走，所以OpenAI只把它開放給了經過認證的安全大廠和企業團隊，主打一個圈內人生態防御。

想要體驗的話，個人用戶可以通過chatgpt.com/cyber驗證身份，企業可以通過OpenAI相關人員為其團隊申請可信訪問權限，所有通過此流程審核的客戶都將獲得現有模型的改進版本。

（圖源：OpenAI）

有趣的是，在GPT-5.4-Cyber發布一周前，Anthropic剛剛發布了自家的Claude Mythos預覽版。

只不過他們更加極端，上來就是一句模型“太危險”，直接不開放給公眾使用。

從測試報告來看，Mythos在內部測試的時候直接殺瘋了。這模型完全靠自己，把各大操作系統和瀏覽器里的未知漏洞扒了個底朝天，甚至還順手挖出了開源系統里藏了二十多年的骨灰級漏洞。

（圖源：Anthropic）

因為這玩意的攻擊性實在太強，Anthropic高層直接嚇出了一身冷汗，只敢拉著微軟谷歌在自家的封閉網絡里悄悄用。

以前找漏洞，那是頂尖黑客端著咖啡熬紅了眼，幾萬行代碼里一行一行地找。

現在好了，AI一天二十四小時不睡覺，找漏洞比你找表情包還快。攻擊方的門檻被徹底打碎，防守方要想活命，就只能同樣雇傭AI來修補漏洞。

這兩大模型一明一暗，直接把網絡安全帶進了一個機器對決機器的新時代。

針對企業安全，是災難還是機遇？

面對這場堪比工業革命的劇變，各路神仙的反應也是相當精彩。

那群巨魔Reddit用戶們，屬于是一邊瑟瑟發抖怕被降維打擊，一邊調侃說，這批AI大廠終于發現幫高中生寫作業賺不到錢，開始對企業安全這塊肥肉下嘴了。

（圖源：reddit）

然而政府部門和金融巨頭們是真的慌了，據衛報報道，英國人工智能部長卡尼什卡·納拉揚正在積極召集英國各大銀行、保險公司及交易所的代表，美國財政部長斯科特 · 貝森特也在召集華爾街各大銀行開會，討論這類模型的潛在網絡風險。

他們的謹慎完全可以理解，上個月，以色列初創公司Tenzai的人工智能工具參加了一系列精英黑客大賽，其模型表現優于超過99%的人類參賽者；谷歌更是在去年發現了多個會在運行時直接連接大模型生成惡意腳本的樣本。

（圖源：福布斯）

先不說人有沒有被賦能，這網絡攻擊倒是先吃上賦能了。

至于你說，我們有沒有必要開始杞人憂天，或是主動排斥大模型的應用，認為新技術肯定會帶來毀滅性的安全風險。

我覺得是沒必要啦。

據福布斯報道，網絡安全公司Root Evidence CEO杰里邁亞·格羅斯曼表示，目前業內遭遇的網絡攻擊中，只有10%到20%的實際攻擊始于利用軟件漏洞，大多數攻擊都是通過網絡釣魚或社會手段入侵計算機網絡的。

也就是說，剩下那80%-90%的攻擊，根本用不上什么千萬算力的超級大模型。

根據Sophos《2025年勒索軟件狀況報告》顯示，源于操作因素引發的攻擊占比更高，其中缺乏專業知識占40.2%，人員/能力不足占39.4%。

（圖源：Sophos）

至于排名第一的入侵方法是什么？是黑客拿到了員工泄露的賬號密碼。

緊隨其后的是什么？是偽裝成老板給你發釣魚郵件，騙你點開鏈接。

沒錯，這就是行業的真相。

不必神話，坦然面對就即可

要我說，GPT-5.4-Cyber和Claude Mythos預覽版的出現，確實把一個殘酷卻現實的問題擺在了所有人面前：

人工智能驅動的網絡攻擊浪潮正在到來。

在執行效率和速度上，機器攻防超越人類已經是不爭的事實。但它并沒有憑空創造出多少新威脅，它只是把舊有的攻擊手段變得更快更便宜了，更像是一個給黑產團隊打雜的無情自動化工具。

正因如此，我們不能神化這些AI廠商做出的貢獻。

杰里邁亞·格羅斯曼表示，Claude Mythos識別出的大量漏洞，讓安全公司難以合理安排漏洞修復的優先級，正在導致大量漏洞積壓。

什么能力太強，什么危害人類，什么AI蝗災。這些科技巨頭們天天在各種社交媒體、發布會上吹噓自家即將推出的大模型多牛，能挖出多深的漏洞，其實他們心思精明得很。

（圖源：雷科技）

他們就是要把AI包裝成無所不能的神，順便把行業門檻拉高，讓你覺得如果和他們合作，自己就能高枕無憂，沒有和他們達成合作，你的公司明天就會倒閉。

挺好笑的。

當然了，面對這波浪潮，企業們多少還是要上點心。即便兩家大廠都說，不會在進攻能力遠超當前防御體系時放開大模型的使用，但是至少不能像以前那樣，給邊緣應用打個補丁平均要拖兩百多天。

這種靠人工慢吞吞打補丁的節奏，在機器掃射面前完全就是活靶子。

而對于咱們普通人來說，你的警惕心就是最好的安全防護。

說到底，網絡世界里最薄弱的環節永遠不是代碼，而是坐在屏幕前面的人。與其天天跟著大廠的PPT瞎恐慌，不如先把自己的密碼改得復雜點。

畢竟，再聰明的AI，也叫不醒一個非要給騙子打錢的糊涂蛋。