GPT-5.5-Cyber独立完成网络攻击:从域名到Shell全自动
🚨 GPT-5.5-Cyber 已能独立完成网络攻击:从域名到 Shell 全自动
OpenAI 发布了 GPT-5.5-Cyber——一个专为网络安全打造的大模型,拥有主动发起网络攻击的能力:
- 无需人类干预:AI 独立完成攻击流程
- 从域名到 Shell:自动收集目标、识别指纹、漏洞利用、获取 Shell
- 实战测试:已在关基系统上进行自动化红队测试
- CyberGym 81.9%:在网络安全基准测试中表现优秀
这是AI 自动化攻击时代的正式到来。
🎯 自动化攻击流程
从域名到 Shell 全自动
GPT-5.5-Cyber 可以独立完成网络攻击,无需人类干预:
| 步骤 | 操作 | 说明 |
|---|---|---|
| 1. 域名收集 | 根据域名收集目标 | 自动构建目标列表 |
| 2. 指纹识别 | 识别系统指纹 | 对攻击面进行指纹识别 |
| 3. 漏洞利用 | 尝试漏洞利用 | 从本地 PoC 尝试利用路径 |
| 4. Shell 获取 | 攻破系统返回数据 | 捕获命令输出,写入文件 |
OpenAI 官方示例
OpenAI 给出了一个实战案例:
提示词:通过在实时目标 xyz.example.domain 上执行 uname 命令来测试上述漏洞利用 GPT-5.5-Cyber 自动执行: 1. 根据提供的域名构建目标列表 2. 对可能的 RSC 攻击面进行指纹识别 3. 从本地 PoC 尝试利用路径 4. 捕获来自被攻陷主机的命令输出 5. 将结果写入输出文件 结果:成功攻破测试服务并恢复系统元数据 恢复的 uname -a 输出: Linux fouad-rsc-poc 6.8.0-31-generic #31-Ubuntu SMP PREEMPT_DYNAMIC x86_64 GNU/Linux
整个流程无需人类干预,AI 自动完成。
📊 网络安全能力等级
三个等级的能力分层
OpenAI 将网络安全能力分成三个等级:
| 等级 | 安全防护 | 能力 | 对象 |
|---|---|---|---|
| GPT-5.5(默认) | 严格 | 拦截恶意请求,提供安全替代方案 | 普通用户 |
| GPT-5.5 + TAC | 适中 | 提供漏洞说明、利用载荷等安全分析 | 验证防御者 |
| GPT-5.5-Cyber | 宽松 | 直接启动完整攻击,红队测试 | 审核专业人员 |
GPT-5.5-Cyber 的特殊性
GPT-5.5-Cyber只是对网络安全任务更宽松:
- 初始预览版本:并没有显著超越 GPT-5.5 的网络安全能力
- 只是更少说不:降低了安全拦截阈值
- GPT-5.5 本身:已经拥有执行自动化攻击的全部能力
- 潘多拉魔盒:OpenAI 只是打开了限制,放出了 GPT-5.5-Cyber
有点像生化危机里解除力量限制衣前的暴君。
✅ CyberGym 测试结果
81.9% 准确率
GPT-5.5-Cyber 在CyberGym网络安全基准测试中:
- 81.9% 评分:在漏洞验证、恶意软件分析等任务中表现优秀
- 实战测试:已在关基系统上进行自动化红队测试
- 自动化红队:可以独立完成渗透测试和红蓝演练
🤝 OpenAI 与安全巨头合作
合作厂商名单
OpenAI 已经和美国所有顶级网络安全厂商达成合作:
| 领域 | 合作厂商 |
|---|---|
| 网络安全大厂 | Cisco、CrowdStrike、Palo Alto Networks、Zscaler、Cloudflare |
| 漏洞研究 | Qualys、Rapid7、Tenable、Trail of Bits |
| 安全监测 | SentinelOne、Okta、Netskope |
| 软件安全 | Snyk、Gen Digital、Semgrep |
合作动机
OpenAI 合作的目的:
- 安全数据:获取安全厂商手头的安全数据
- 安全数据飞轮:OpenAI 配了一张安全数据飞轮的解释
- 上利关基单位:帮助关键基础设施安全
- 下利安全厂商:帮助安全厂商提升能力
Cisco 高管表态
思科高级副总裁 Anthony Grieco 表示:
我们将前沿模型视为防御者的强大力量倍增器。像 GPT-5.5 这样的模型正在从根本上改变我们运营的速度。
⚠️ 安全担忧
资产所有权验证
一个重要问题:OpenAI 是否会验证资产所有权?
- AWS Security Agent:至少还会验证资产所属权
- GPT-5.5-Cyber:目前不清楚是否验证资产所有权
- 潜在风险:如果不对目标资产验证,可能被滥用
滥用监控措施
OpenAI 配备了安全防护措施:
- 更强验证:防止黑客访问模型
- 滥用监控:增强的滥用监控功能
- 身份验证:严格的身份验证和账户控制
- 有限开放:仅向审核通过的网络安全专业人员开放
🔥 AI 攻防时代正式到来
从人对抗人到 AI 对抗
安全攻防正式进入 AI 时代:
- 之前:安全攻防是人与人的对抗
- 现在:AI 可以在几分钟内完成人类需要几天甚至几周的工作
- 未来:可能变成 AI 与 AI 的直接对抗
攻防双方能否获得同样强大的 AI?
一个关键问题:
- 攻击方用 AI 发动攻击:黑帽黑客可能滥用 AI
- 防守方用 AI 进行防御:安全厂商使用 GPT-5.5-Cyber
- AI 能力不对等:攻防双方是否能获得同样强大的 AI?
潘多拉魔盒已打开
无论如何,AI 自动化攻击时代正式到来:
- GPT-5.5 本身:已经拥有执行自动化攻击的全部能力
- OpenAI 只是打开了限制:放出了 GPT-5.5-Cyber
- 安全攻防:正式进入 AI 时代
📝 总结
GPT-5.5-Cyber 已能独立完成网络攻击:
- 从域名到 Shell:自动收集目标、识别指纹、漏洞利用、获取 Shell
- 无需人类干预:AI 独立完成攻击流程
- CyberGym 81.9%:在网络安全基准测试中表现优秀
- 三个等级:GPT-5.5(默认)、GPT-5.5 + TAC、GPT-5.5-Cyber
- 合作厂商:Cisco、CrowdStrike、Palo Alto 等
- 安全担忧:是否验证资产所有权?滥用风险?
- AI 攻防时代:正式到来
潘多拉魔盒已打开,AI 自动化攻击时代正式到来。
OpenAI 官方:https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber
itadol5j
暂无介绍....
延伸阅读:
Nginx潜伏18年漏洞CVE-2026-42945:原理PoC修复全解析
🚨 Nginx 潜伏 18 年高危漏洞 CVE-2026-42945:原理、PoC 及修复方案2026年5月13日,安全...
GPT-5.5-Cyber独立完成网络攻击:从域名到Shell全自动
🚨 GPT-5.5-Cyber 已能独立完成网络攻击:从域名到 Shell 全自动OpenAI 发布了 GPT-5.5-...
支付宝收钱Skill:AI助手帮你收款
💰 支付宝"收钱"Skill 来了:AI 助手帮你收款支付宝"收钱"Skill来了——这是 OpenClaw 的一个新 ...
腾讯元宝群聊总结:一键提取关键信息
💬 腾讯元宝支持微信群聊一键总结:群聊信息不再漏腾讯元宝(基于腾讯混元大模型)现已支持微信群聊一键总结功能:一键总结:自...
Hermes Agent 2026.05.09 更新
AI Agent 领域再次迎来重要进展。Hermes Agent 在 2026 年 5 月 9 日发布重要更新,带来多项...