GPT-5.5-Cyber独立完成网络攻击:从域名到Shell全自动
🚨 GPT-5.5-Cyber 已能独立完成网络攻击:从域名到 Shell 全自动
OpenAI 发布了 GPT-5.5-Cyber——一个专为网络安全打造的大模型,拥有主动发起网络攻击的能力:
- 无需人类干预:AI 独立完成攻击流程
- 从域名到 Shell:自动收集目标、识别指纹、漏洞利用、获取 Shell
- 实战测试:已在关基系统上进行自动化红队测试
- CyberGym 81.9%:在网络安全基准测试中表现优秀
这是AI 自动化攻击时代的正式到来。
🎯 自动化攻击流程
从域名到 Shell 全自动
GPT-5.5-Cyber 可以独立完成网络攻击,无需人类干预:
| 步骤 | 操作 | 说明 |
|---|---|---|
| 1. 域名收集 | 根据域名收集目标 | 自动构建目标列表 |
| 2. 指纹识别 | 识别系统指纹 | 对攻击面进行指纹识别 |
| 3. 漏洞利用 | 尝试漏洞利用 | 从本地 PoC 尝试利用路径 |
| 4. Shell 获取 | 攻破系统返回数据 | 捕获命令输出,写入文件 |
OpenAI 官方示例
OpenAI 给出了一个实战案例:
提示词:通过在实时目标 xyz.example.domain 上执行 uname 命令来测试上述漏洞利用 GPT-5.5-Cyber 自动执行: 1. 根据提供的域名构建目标列表 2. 对可能的 RSC 攻击面进行指纹识别 3. 从本地 PoC 尝试利用路径 4. 捕获来自被攻陷主机的命令输出 5. 将结果写入输出文件 结果:成功攻破测试服务并恢复系统元数据 恢复的 uname -a 输出: Linux fouad-rsc-poc 6.8.0-31-generic #31-Ubuntu SMP PREEMPT_DYNAMIC x86_64 GNU/Linux
整个流程无需人类干预,AI 自动完成。
📊 网络安全能力等级
三个等级的能力分层
OpenAI 将网络安全能力分成三个等级:
| 等级 | 安全防护 | 能力 | 对象 |
|---|---|---|---|
| GPT-5.5(默认) | 严格 | 拦截恶意请求,提供安全替代方案 | 普通用户 |
| GPT-5.5 + TAC | 适中 | 提供漏洞说明、利用载荷等安全分析 | 验证防御者 |
| GPT-5.5-Cyber | 宽松 | 直接启动完整攻击,红队测试 | 审核专业人员 |
GPT-5.5-Cyber 的特殊性
GPT-5.5-Cyber只是对网络安全任务更宽松:
- 初始预览版本:并没有显著超越 GPT-5.5 的网络安全能力
- 只是更少说不:降低了安全拦截阈值
- GPT-5.5 本身:已经拥有执行自动化攻击的全部能力
- 潘多拉魔盒:OpenAI 只是打开了限制,放出了 GPT-5.5-Cyber
有点像生化危机里解除力量限制衣前的暴君。
✅ CyberGym 测试结果
81.9% 准确率
GPT-5.5-Cyber 在CyberGym网络安全基准测试中:
- 81.9% 评分:在漏洞验证、恶意软件分析等任务中表现优秀
- 实战测试:已在关基系统上进行自动化红队测试
- 自动化红队:可以独立完成渗透测试和红蓝演练
🤝 OpenAI 与安全巨头合作
合作厂商名单
OpenAI 已经和美国所有顶级网络安全厂商达成合作:
| 领域 | 合作厂商 |
|---|---|
| 网络安全大厂 | Cisco、CrowdStrike、Palo Alto Networks、Zscaler、Cloudflare |
| 漏洞研究 | Qualys、Rapid7、Tenable、Trail of Bits |
| 安全监测 | SentinelOne、Okta、Netskope |
| 软件安全 | Snyk、Gen Digital、Semgrep |
合作动机
OpenAI 合作的目的:
- 安全数据:获取安全厂商手头的安全数据
- 安全数据飞轮:OpenAI 配了一张安全数据飞轮的解释
- 上利关基单位:帮助关键基础设施安全
- 下利安全厂商:帮助安全厂商提升能力
Cisco 高管表态
思科高级副总裁 Anthony Grieco 表示:
我们将前沿模型视为防御者的强大力量倍增器。像 GPT-5.5 这样的模型正在从根本上改变我们运营的速度。
⚠️ 安全担忧
资产所有权验证
一个重要问题:OpenAI 是否会验证资产所有权?
- AWS Security Agent:至少还会验证资产所属权
- GPT-5.5-Cyber:目前不清楚是否验证资产所有权
- 潜在风险:如果不对目标资产验证,可能被滥用
滥用监控措施
OpenAI 配备了安全防护措施:
- 更强验证:防止黑客访问模型
- 滥用监控:增强的滥用监控功能
- 身份验证:严格的身份验证和账户控制
- 有限开放:仅向审核通过的网络安全专业人员开放
🔥 AI 攻防时代正式到来
从人对抗人到 AI 对抗
安全攻防正式进入 AI 时代:
- 之前:安全攻防是人与人的对抗
- 现在:AI 可以在几分钟内完成人类需要几天甚至几周的工作
- 未来:可能变成 AI 与 AI 的直接对抗
攻防双方能否获得同样强大的 AI?
一个关键问题:
- 攻击方用 AI 发动攻击:黑帽黑客可能滥用 AI
- 防守方用 AI 进行防御:安全厂商使用 GPT-5.5-Cyber
- AI 能力不对等:攻防双方是否能获得同样强大的 AI?
潘多拉魔盒已打开
无论如何,AI 自动化攻击时代正式到来:
- GPT-5.5 本身:已经拥有执行自动化攻击的全部能力
- OpenAI 只是打开了限制:放出了 GPT-5.5-Cyber
- 安全攻防:正式进入 AI 时代
📝 总结
GPT-5.5-Cyber 已能独立完成网络攻击:
- 从域名到 Shell:自动收集目标、识别指纹、漏洞利用、获取 Shell
- 无需人类干预:AI 独立完成攻击流程
- CyberGym 81.9%:在网络安全基准测试中表现优秀
- 三个等级:GPT-5.5(默认)、GPT-5.5 + TAC、GPT-5.5-Cyber
- 合作厂商:Cisco、CrowdStrike、Palo Alto 等
- 安全担忧:是否验证资产所有权?滥用风险?
- AI 攻防时代:正式到来
潘多拉魔盒已打开,AI 自动化攻击时代正式到来。
OpenAI 官方:https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber
itadol5j
暂无介绍....
延伸阅读:
一行命令干翻5个API!阿里云百炼CLI开源,Agent水电煤之战正式开打
5月29日,阿里云干了一件让 Agent 开发者集体高潮的事——百炼核心能力正式 CLI 化,一行命令就能让 AI Ag...
20亿用户握手!PayPal钱包正式接入微信支付,老外来华扫码时代到了
5月27日,支付圈传出来一个让人眼前一亮的消息:腾讯财付通全球与 PayPal World 正式达成合作,PayPal ...
支付宝杭州扔下王炸:3亿笔智能体支付已跑通,AI付Token Pay四件套定义新范式
5月26日下午,支付宝在杭州未来科技城国际会议中心办了一场叫"AI 支付生态大会"的活动。表面看是常规的产品发布会,实际...
渗透圈一夜变天!Xalgorix 22阶段全自动 AI 攻击平台开源,国产模型直接接
渗透测试这行最累的是什么?不是写报告,是重复劳动——侦察、目录爆破、注入点测试、SSRF 验证、CORS 检查……一个标...
Claude Mythos 企业版挖出超1万高危漏洞:Anthropic 联手13家巨头建AI安全联盟
Anthropic 最近搞了个大动作,但这次不是发新模型那么简单。4月7日,它联合了一串你可能做梦都想不到会站在一起的公...