Anthropic上周发了Mythos,说只给40家组织用,帮某些团队挖出了27年前的老漏洞。这周OpenAI直接反手:GPT-5.4-Cyber来了,目标是数千名安全研究员和数百个团队,规模上直接碾压Mythos的精英俱乐部路线。
两家公司在同一个时间窗口里,用两种完全不同的策略打同一个赛道。
GPT-5.4-Cyber是什么
这不是全新模型,是GPT-5.4的网络安全专用变体,核心区别是针对防御性安全场景的限制被有针对性地放开了。
最关键的新能力:二进制逆向工程(binary reverse engineering)。
普通的安全分析通常需要先拿到源码,或者手动反汇编。GPT-5.4-Cyber可以直接接收编译好的二进制文件,帮你找漏洞、识别恶意逻辑。现实中能拿到源码的恶意软件是少数——大量APT攻击分析、勒索软件逆向、供应链安全排查,都是在对付编译好的黑箱。这个功能直接切中了安全工程师最头疼的场景。
从27%到76%,这组数字说明了什么
OpenAI用CTF(夺旗赛)基准来衡量安全能力的进步:
| 时间 | 模型 | CTF基准分数 |
|---|---|---|
| 2025年8月 | GPT-5 | 27% |
| 2025年11月 | GPT-5.1-Codex-Max | 76% |
三个月内从27%跳到76%——意味着AI在网络安全领域的实际解题能力翻了接近三倍。一年前AI还只能做基础安全问答,现在能解大部分中等难度的CTF题目了。
与此同时,基于GPT-5.4-Cyber的代码安全分析工具Codex Security,自私测以来已经协助修复了超过3000个高危或严重漏洞。
TAC计划:分级访问,不是随便能用的
访问GPT-5.4-Cyber的通道是Trusted Access for Cyber(TAC)计划,今年2月和一笔1000万美元的网络安全赠款一起上线,当时跑在GPT-5.3-Codex上。
这次升级引入了多层身份验证体系:
- 基础层:标准验证,可以使用普通网络安全功能
- 高级层:更严格的身份核实,解锁更强能力
- 顶层:最高验证级别,才能访问GPT-5.4-Cyber
个人注册入口在 chatgpt.com/cyber,企业团队走OpenAI销售通道。现有TAC成员可以单独申请升级到更高级别。
Anthropic vs OpenAI:两种路线的正面碰撞
这时间点太巧了,不可能是偶然。
上周Anthropic发Mythos,强调精英化、少量合作伙伴、用结果说话。OpenAI的回应是大规模铺开,数千人参与,用覆盖面取胜。
| Anthropic Mythos | OpenAI GPT-5.4-Cyber | |
|---|---|---|
| 发布时间 | 2026年4月第一周 | 2026年4月14日 |
| 目标用户规模 | ~40个组织 | 数千名个人 + 数百团队 |
| 核心策略 | 精英化,用结果证明能力 | 大规模铺开,制造实际防御价值 |
| 标志性能力 | 挖出27年老漏洞 | 二进制逆向、CTF基准76% |
哪种更有效?现在说不好。但两家同一个时间窗口里都在抢AI网络安全赛道,已经说明这个方向被当成了真正的战略战场。
还有一条值得注意的边界
GPT-5.4-Cyber的宽松是有边界的,只针对防御性安全场景。OpenAI要求更严格的部署控制,使用前须签协议。
分析恶意软件的C2逻辑:允许。用来写新的攻击工具:肯定不行。
具体的边界怎么落地,还要等实际使用中社区给出反馈。
参考来源:OpenAI launches GPT-5.4-Cyber model for vetted security professionals(SiliconANGLE);OpenAI Releases Cyber Model to Limited Group in Race With Mythos(Bloomberg)