GPT-5.6安全测试露出裂缝

GPT-5.6 刚全面上线,安全评测先把一个尴尬场景摆出来:模型能力更强,护栏也更厚,但英国 AI Security Institute 仍在网络安全场景里找到了通用越狱方法。它们能让模型继续完成漏洞发现、利用开发这类长链路任务。

这条消息的信号不在“某个提示词又绕过了模型”,而在评测对象已经从单轮拒答,挪到多步骤、带工具、可持续推进的 Agent 任务。对开发者和企业安全团队来说,风险口径也要跟着改:模型会不会拒答,只是第一层;它在被诱导后还能保留多少执行能力,才是生产环境更麻烦的部分。

AISI测到的是长链路越界

OpenAI 在 GPT-5.6 System Card 里写明,UK AISI 获得了 GPT-5.6 Sol 的预部署访问权,用一组专家级网络安全任务和长程攻击模拟做评测。结果很直接:Sol 在 AISI 的 CTF 专家任务上达到 95.0% ± 9.8%,GPT-5.5 是 85.0% ± 11.6%

长程 cyber range 的差距更扎眼。名为 The Last Ones 的 32 步企业网络攻击模拟里,GPT-5.6 Sol 10 次完成 7 次,GPT-5.5 是 10 次完成 2 次。另一个 Doing Life range 里,Sol 没有完全打通,但在 10 次里 3 次到达 23 步中的第 21 步,GPT-5.5 对应是 1 次。

这些数字有边界。AISI 也强调,测试环境比现实企业网络更小、更简单,前提还包括模型已经进入网络并被要求继续推进任务。可即便打了这些折扣,结论也够清楚:当模型获得足够上下文和工具链,它会在弱防护网络里推进一段完整攻击路径。

Fortune 报道把这件事放到了更敏感的位置:同样是网络安全护栏被绕过,Anthropic 的 Fable 5 曾触发美国出口管制,GPT-5.6 目前没有遭遇同等处置。差别来自漏洞形态、测试权限、企业响应和政策判断,外界很难只靠公开材料复盘清楚。

护栏变厚,攻击面也变长

OpenAI 给出的防线已经超过单点拒答。System Card 里列了模型安全训练、敏感领域 activation classifier、实时阻断、账号级执法、Trusted Access for Cyber、外部红队和上线后继续测试。公司还称,GPT-5.6 Sol 的网络安全护栏拦截了约 10 倍于以往模型的潜在有害活动。

问题被 AISI 的灰盒测试戳在另一个位置。测试人员拿到了普通攻击者没有的权限:安全推理监控的 chain-of-thought、精确政策文本、classifier 标签反馈。这样的权限当然加速了攻击探索;OpenAI 也据此复现并缓解了 AISI 报告的具体方法。

但 AISI 仍预期后续红队会找到相似问题。

“UK AISI expects further red teaming to surface similar jailbreaks.”

英国 AISI 的判断是,后续红队测试仍可能暴露类似越狱。

这句话比“已修复”更接近工程现实。越狱很难靠一个补丁消失,尤其在 Agent 场景里,攻击者不需要一次拿到完美答案,只要能让模型在几十轮里持续偏离边界,就可能积累出结果。

企业该看哪几个指标

这次材料里,有三个指标比“模型是否安全”这种大词更有用。

  • 长链路任务完成率:The Last Ones 从 2/10 到 7/10,说明能力提升已进入可执行流程。
  • 越狱后能力保留:AISI 指出部分越狱仍能保留公开攻击基准上的能力,这决定了绕过护栏后的实际危险程度。
  • 监控粒度:System Card 显示,仅看用户可见输出和动作,监控效果会下降;能看推理轨迹时更容易发现异常。

企业如果把 GPT-5.6 这类模型放进安全运营、代码审计或内部自动化流程,不能只依赖模型端拒答。更稳的做法是把任务权限、代码执行、网络访问、凭据读取和审批动作拆开控制,让模型在单次越权时拿不到连续推进任务的空间。

这也是 OpenAI 推 Trusted Access for Cyber 的现实含义。合法防守者需要高级漏洞分析能力,平台又要挡住恶意利用。粗暴关掉高级能力会伤到蓝队,全部放开则会给攻击者更顺滑的工具链。身份、用途、审计和环境授权会变成前沿模型网络安全能力的默认门槛。

政策空白会继续制造摩擦

Fortune 报道提到,一个美国前 AI 政策顾问认为,近期处理方式正在制造不确定性,并可能让外界怀疑美国是否对不同 AI 实验室采用一致标准。微软总裁 Brad Smith 也在联合国 AI for Good 峰会边上谈到,模型发布规则缺乏透明度会让企业规划更困难。

这里的张力已经超出 OpenAI 一家公司。Fable 5 事件显示,政府可能在模型上线后用出口管制按下暂停键;GPT-5.6 事件又显示,类似安全测试发现未必引发同样后果。对买模型、接 API、做安全产品的企业来说,技术能力、护栏强度和政策许可正在绑到一张表里。

GPT-5.6 没有跨过 OpenAI 框架里的 Critical 门槛。System Card 的判断是,它能找到漏洞和利用片段,但尚未可靠完成对加固目标的自主端到端攻击。这个结论给了模型上线空间,也留下了一个很硬的观察点:下一轮前沿模型如果把 cyber range 的剩余缺口补上,安全评测和监管流程还能不能继续靠临时协商解决?

模型越像执行者,安全报告越要少写“会拒绝什么”,多回答:失败的护栏会把多大能力放出来,多久能修,谁能验证,谁有权决定上线。

参考来源:Fortune;OpenAI GPT-5.6 System Card 核验 UK AISI cyber eval、CTF 通过率、cyber range 尝试次数、safeguard 与 Trusted Access 口径;CocoLoop、Anthropic 说明核验 Fable 5 / Mythos 5 出口管制解除背景。