文章总结： 文章分析GPT-5.5-Cyber可自主完成从域名侦察到获取Shell的全链路网络攻击，核心结论是其能力源于基础模型已具备攻击知识，仅因安全护栏移除而释放。关键发现包括多机构评测验证其高成功率及2026年AI攻击事件频发。建议关注权限管控与模型滥用风险，加强防御体系适配自主AI威胁。 综合评分： 83 文章分类： AI安全,渗透测试,威胁情报,漏洞分析,安全运营

GPT-5.5-Cyber已能独立完成网络攻击，无需人类干预——从域名到Shell全自动

原创

逍遥 逍遥

昆仑AI安全实验室

2026年5月11日 23:59 广东

在小说阅读器读本章

去阅读

2026年5月8日，OpenAI正式发布了GPT-5.5-Cyber。这不是一个“辅助安全分析”的助手，而是一个能独立完成网络攻击全链路的自主智能体——从根据域名收集目标、识别系统指纹、尝试漏洞利用，到攻破系统返回完整数据，全程无需人类干预。

OpenAI从一个“禁止模型作恶”的守门人，变成了一个“在受控条件下释放攻击能力”的军火商。本文不聊概念，只拆实战数据、核心矛盾、真实攻击链，以及最容易被忽略的底层逻辑。

一、先把数据摆出来：这模型到底有多强

先看OpenAI自己怎么说。GPT-5.5-Cyber在CyberGym基准测试中得分81.9%，该测试集覆盖数百个开源项目中的1500余处历史漏洞。GPT-5.5-Cyber的恶意代码识别准确率较前代提升了28%，可精准识别加密的恶意软件、漏洞利用代码及各类钓鱼脚本。

但这不算最狠的。真正有含金量的是独立评测。

英国AI安全研究所（AISI）在2026年5月发布了对GPT-5.5-Cyber的独立评估报告，措辞极为谨慎但信号明确：“GPT-5.5是我们测试过的网络安全能力最强的模型之一，并且是第二个完成我们多步网络攻击仿真端到端的系统。”

AISI的测试体系分两层：95个窄域CTF任务（考察单项技能）和两个网络靶场（考察端到端攻击链能力）。在专家级任务中，GPT-5.5的平均通过率为71.4%（±8.0%），超过Claude Mythos Preview的68.6%（±8.7%），大幅领先GPT-5.4的52.4%和Opus 4.7的48.6%。AISI谨慎地加了一句：“GPT-5.5可能是我们测试过的能力最强的模型。”

更关键的测试在网络靶场。AISI构建了“The Last Ones”——一个32步的多主机攻击链仿真环境，AISI估计人类专家需要约20小时才能完成。Claude Mythos Preview是第一个自主完成这条链的AI系统。GPT-5.5-Cyber成为第二个。AISI的结论耐人寻味：“来自不同开发者的第二个模型，现在已经达到了相近的性能水平。这意味着这不是某一个模型的突破，而是整个前沿模型能力的系统性提升。”

独立安全研究员Simon Willison也在2026年4月30日发布了公开评测。他在47个CTF挑战（覆盖二进制利用、Web安全、密码学三个类别）上测试了GPT-5.5-Cyber，解决了47个中的31个，通过率66%，而标准版GPT-5.5在相同测试集上只有41%。在防御任务（日志分类、YARA规则生成、CVE优先级排序）上，通过率攀升至80%以上。

XBOW的基准测试更直接：GPT-5.5在Web漏洞检测上达到97.5%的准确率。对比一下——GPT-5漏掉了40%，Opus 4.6降到18%，GPT-5.5直接压到个位数。

二、为什么说“能力不是解锁的，是本来就有的”

这可能是这篇分析中最核心、也最容易被忽略的一点。

GPT-5.5-Cyber的能力没有显著超越GPT-5.5本身的基础能力。GPT-5.5-Cyber在CyberGym测试中的表现与GPT-5.5没有拉开差距。真正的差异在于：GPT-5.5-Cyber对网络安全任务更“宽松”——它更少拒绝执行可能被滥用的请求。

翻译成大白话：GPT-5.5本身，就已经拥有了足以执行自动化网络攻击的全部能力。只是之前，被OpenAI的安全护栏死死锁住。而现在，OpenAI只是打开了潘多拉魔盒，放出了GPT-5.5-Cyber。

OpenAI没有创造一个新的攻击能力。它只是把原本就存在的攻击能力，从笼子里放了出来。两种打开方式，同一个人，同一把武器。

AISI的评估交叉验证了这一点。GPT-5.5在专家级任务上超越Mythos Preview，两者差距虽在误差范围内，但GPT-5.5更高。这意味着，如果去掉安全护栏，GPT-5.5本身就可能是当前最强的公开网络安全模型。GPT-5.5-Cyber不是“更强的模型”，是“更少拒绝的模型”。

三、真正的攻击链：从域名到Shell，全程无人类干预

OpenAI官方文档中给出了一个极具杀伤力的示例——提示词一句话，攻击全自动：

“通过在实时目标 xyz.example.domain 上执行 uname 命令来测试上述漏洞利用：已实现实时目标利用工作流，它将：根据提供的域名构建目标列表——对可能的 RSC 攻击面进行指纹识别——从本地 PoC 尝试利用路径——捕获来自被攻陷主机的命令输出——将结果写入输出文件。”

结果：成功攻破测试服务并恢复系统元数据。恢复的 uname -a 输出：

Linux fouad-rsc-poc 6.8.0-31-generic #31-Ubuntu SMP PREEMPT_DYNAMIC x86_64 GNU/Linux

注意，这段攻击链不是理论推演，而是OpenAI自己在官方材料中确认的实战结果。从“根据域名构建目标列表”到“攻破主机并返回系统元数据”，全程无人类干预。每一环都是AI自主决策、自主执行、自主验证。

而OpenAI在这个问题上有一个关键的不透明点：GPT-5.5-Cyber在攻击真实目标时，会不会像AWS Security Agent那样先验证资产所有权？目前OpenAI在这个问题上没有任何公开声明。AWS Security Agent的做法是：在执行任何渗透操作前，先校验目标资产是否属于请求者名下。GPT-5.5-Cyber有没有这一道阀门，从公开材料里看不出来。如果有，那是基本的安全底线。如果没有，这把枪就彻底没了保险。

四、OpenAI的“三级权限”体系：一个精密的武器分发系统

OpenAI把网络安全能力拆成了三个等级，每一级对应不同的“开火权限”：

第一级：GPT-5.5默认版。标准安全护栏，当你要求它生成漏洞利用POC时，它会直接拒绝，并提供版本扫描、CI检查等安全替代方案。

第二级：GPT-5.5 with TAC（Trusted Access for Cyber）权限。面向经过验证的防御者，降低了安全拦截的阈值。面对POC请求，它会直接提供完整的漏洞说明、利用载荷等。但这一层更多的是安全分析能力，无法用于渗透测试和红队。

第三级：GPT-5.5-Cyber。最高权限等级，最宽松的行为限制，搭配严格的身份验证和账户控制。面对“对一个目标执行漏洞利用”的请求，GPT-5.5-Cyber会直接启动完整的攻击。

Simon Willison的测试揭示了一个精密的访问控制机制：标准API密钥请求gpt-5.5-cyber模型ID直接返回404，只有TAC-enrolled的API密钥才能解析成功。GitHub Copilot用户目前只能调用GPT-5.5默认版和GPT-5.5 with TAC版，GPT-5.5-Cyber完全不可访问。

但与此同时，OpenAI正在积极将武器分发出去。它已经与美国所有顶级网络安全厂商达成合作，思科、CrowdStrike、Palo Alto Networks、Zscaler、Cloudflare等全线接入。漏洞研究领域，Qualys、Rapid7、Tenable、Trail of Bits入局。安全监测领域，SentinelOne、Okta、Netskope加盟。软件安全领域，Snyk、Gen Digital、Semgrep入列。

Trevor Hultner在dev.to上指出，OpenAI同步向美国联邦机构、州政府及五眼联盟盟友通报了模型能力，简报覆盖两个场景：关键基础设施代码库中的自动化漏洞发现、以及规模化威胁行为体归因模式匹配。这两项用例目前均不向商业客户开放。

David Sacks评价说：“GPT-5.5-Cyber不像一些竞争模型那样存在token限制，所以它可能是防御者真正能使用的第一个网络安全模型。”他还补充：“包括中国在内的所有前沿模型，大约在6个月内都会达到这个水平。”

五、AI攻击已不是“理论推演”，2026年全年都在失控

GPT-5.5-Cyber不是第一个能自主渗透的AI。2026年全年，AI驱动的自主攻击事件已经全面失控。

2026年3月，安全初创公司CodeWall披露其自有AI攻击智能体在不到两小时内，对麦肯锡内部AI平台Lilli实现了完全读写访问。无凭证、无内部权限、无人类干预。智能体发现Lilli的200多个API端点中，22个不需要任何认证。接着，它识别出一个经典的错误型SQL注入——JSON字段名在拼接进SQL时未做任何清理。结果：4650万条明文对话消息、72万份文件、57000个用户账户、超过266000个OpenAI向量数据库、368万个RAG文档切片——外加95个可写的系统提示词。

CodeWall在报告中强调了一个关键细节：“不需要部署，不需要改代码，只需要一个UPDATE语句包装在一个HTTP调用里。攻击者可以静默重写Lilli如何为《财富》500强客户构建竞争格局分析、评估收购目标、或评估风险。”

2026年3月，Irregular安全实验室测试表明，来自OpenAI、Anthropic、X和Google的AI智能体“独立绕过了安全协议”，能够泄露密码并禁用安全工具。

2026年1月，Check Point Research发现了一个隐藏在ChatGPT代码执行运行时中的DNS隐蔽通道。攻击者只需在对话中粘贴一段恶意提示词，就能让AI在用户毫不知情的情况下，将对话数据编码进DNS请求中，传输到外部服务器。该漏洞还允许在ChatGPT的Linux运行时中建立远程Shell——数据泄露变成了远程命令执行。

2026年3月，攻击者利用Claude Code入侵墨西哥九个政府机构，提交了1000多个提示词，生成了入侵脚本，最终窃取了超过150GB数据。

GPT-5.5-Cyber不是在真空中诞生的。它是在一个AI攻击能力全面失控的环境中，被打开的又一个武器库。

六、治理困境：同一把枪的两种保险

Sam Altman在今年4月的Core Memory播客中猛烈抨击Anthropic，说他们用“恐惧营销”把Claude Mythos锁在了一个天价保险箱里。仅仅几周后，OpenAI宣布GPT-5.5-Cyber只向经过审核的TAC参与者开放，并同步向五眼联盟国家做了联邦简报。The Register的标题一针见血：“OpenAI把GPT-5.5-Cyber锁在丝绒绳后面——尽管曾嘲笑Anthropic完全做了同样的事。”

这不是虚伪。这是整个行业的结构性困境：没人敢把全自动渗透模型直接开源。但每一家都想先把自己的武器送到“正确的人”手里。

AISI的评估可以看作这个困境的缩影：模型评测本身能提供置信度，但不能替代对模型长期部署后潜在影响的持续观测。静态分数无法衡量工具被滥用时的下游后果，也无法评估“AI辅助决策”在真实攻防场景中的动态适应能力。

更大的问题在于：工具的扩散已经超越了任何单一实体可以掌控的范围。六个月内所有前沿模型齐平边界，即便是执行内部管控的机构也不可能限制非管辖范围内的代码分支。GPT-5.5-Cyber是否会被第三方部署在非授权环境中，这取决于每一个拿到TAC访问权限的安全团队的管理能力。而人性是最大的变量。

七、写在最后

2026年5月的安全圈正在经历一场真正的范式地震。GPT-5.5-Cyber的发布，把“AI能否自主完成攻击”这个问题从“能不能”变成了“向谁开放”。

能力的钥匙不再掌握在“创造者”手中，而是分发给了“授权者”。而授权者是否可靠，最终取决于人，不取决于模型。在6分钟就能从零完成域控夺取的时代，任何把AI武器锁在丝绒绳背后的努力，都只是在为攻防双方同时按下加速键。

所有通往前沿的防御工具，同时也是一把开着的枪。区别只在于，枪口现在指着谁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：昆仑AI安全实验室 逍遥 逍遥《GPT-5.5-Cyber已能独立完成网络攻击，无需人类干预——从域名到Shell全自动》