85.6% 对 83.8%。这是 GPT-5.5-Cyber 和 Anthropic Mythos 5 在最新 CyberGym 基准测试上的得分差距。OpenAI 本周一宣布,其专为网络安全打造的 GPT-5.5-Cyber 模型在 CyberGym、ExploitGym(39.5%)和 SEC-bench Pro(69.8%)三项基准上均刷新纪录。在 ExploitGym 上,这款安全专用模型比通用版 GPT-5.5 高出超过 13 个百分点。
但比这份成绩单更值得追问的,是两家公司在同一时间窗口内喊出的同一个判断:网络安全的真正瓶颈,已经从「找不到漏洞」变成了「修不过来」。
Anthropic 在一个月前就发出了警告——Claude Mythos Preview 发现漏洞的速度已超过人类安全团队的处理能力。OpenAI 现在表达了完全一致的立场。当两大 AI 巨头在基准测试上针锋相对,却在底层判断上达成共识,这件事本身就是行业最大的信号。
从「找不到」到「找不完」:数字管窥质变
Anthropic 的 Project Glasswing 启动一个月后,Mythos Preview 在约 50 家合作伙伴的系统关键软件中发现了超过 10,000 个高危或严重级别漏洞。Cloudflare 一家标记了 2,000 个,其中 400 个被确认为高危。Mozilla 在 Firefox 150 中发现并修复了 271 个漏洞——是此前捕获量的十倍以上。在开源世界,Mythos Preview 扫描了 1,000 多个项目,发现 23,019 个潜在漏洞,其中 6,202 个被评估为高危或严重级别。第三方验证的 1,752 个高危发现中,90.6% 是真阳性。英国 AI 安全研究所的评估更为直接:Mythos Preview 是有史以来第一个完全通过其内部网络靶场全部模拟攻击阶段的 AI 模型。
OpenAI 这边同样惊人。Codex Security 自 3 月发布以来已扫描超过 3,000 万次代码提交,覆盖 3 万多个代码仓库。超过 50 万个发现被自动标记为已修复,另有 7 万个经人工审核确认。
这些数字指向同一个结论:AI 做漏洞发现的能力,已经超过了行业消化漏洞的速度。 这不是渐进式改进——这是质变。
「死亡漏斗」:530 个已报,75 个已修
Anthropic 在 Glasswing 的首次正式更新中,披露了一个令人不安的漏斗。截至 5 月 22 日,Mythos Preview 发现的 530 个已通报维护者的高危漏洞中,仅有 75 个被打上了补丁。另有 827 个已确认的漏洞仍在等待披露——因为维护者没有能力同时处理这么多。部分开源维护者甚至主动要求 Anthropic 放慢披露速度。
这不是孤立个案。Palo Alto Networks 在最新版本中发布的补丁量达到平时的五倍。微软在 Patch Tuesday 公告中承认,新补丁数量「将在相当一段时间内继续增长」。Oracle 也表示漏洞发现和修复速度比以往快了数倍——但缺口依然在扩大。平均修复一个高危漏洞需要两周时间,而 AI 发现漏洞的速度几乎不受约束。
Anthropic 的警告直白而冷酷:「具备类似网络安全技能的模型很快就会广泛可用。有些很可能已经可用。」
两条路线,同一个方向
面对同一个瓶颈,OpenAI 和 Anthropic 选择了截然不同的路径。
OpenAI:全链路平台化
新版 Codex Security 插件覆盖了从威胁建模、代码分析、攻击路径追踪到补丁生成和验证的完整闭环。通过 SARIF 文件和 CodeQL 查询,结果可直接输出到现有漏洞管理系统。批量模式下还可对存量发现进行分诊和自动补丁生成。OpenAI 强调每一步仍需要人工签字确认。
与此同时,OpenAI 启动了 Daybreak Cyber Partner Program,集结了超过 25 家安全厂商——Cisco、CrowdStrike、Cloudflare、Palo Alto Networks、IBM、Fortinet、Wiz、SentinelOne、Darktrace、Palantir,再到 Accenture、PwC、KPMG 等咨询巨头。在政府侧已与澳大利亚、加拿大、法国、德国、日本、韩国、欧盟 ENISA 以及英国建立合作。在美国,OpenAI 正落实最新 AI 安全行政令,计划与关键基础设施运营商直接协作。
针对开源生态,OpenAI 与 Trail of Bits、HackerOne 联合发起了 Patch the Planet。超过 30 个开源项目已加入,包括 cURL、Go、Python、Sigstore 和 pyca/cryptography。Trail of Bits 工程师在首批五天冲刺中全职投入 19 个项目,提交了 64 个 Pull Request、51 个 Issue,其中 37 个补丁已合并——不是空投漏洞报告,而是带着修复代码去的。
Anthropic:深度研究驱动的防御网络
Anthropic 走的是「深度研究+受控合作」路线。独立安全平台 XBOW 评价 Mythos 具备「前所未有的精确度」。6 月初,Anthropic 将 Glasswing 扩大到约 150 个组织、覆盖超过 15 个国家,同时推出 Claude Security 企业版公测。每一步都伴随严格的访问控制。
一个细节值得注意:在一家合作银行,Mythos Preview 帮助拦截了一笔超过 150 万美元的欺诈电汇——这是实时威胁干预,而非漏洞发现。
两条路线的共同特征是:都严格限制模型访问权限。 GPT-5.5-Cyber 只对经过验证的防御者开放。OpenAI 明确表示大多数用户应使用 GPT-5.5 配合 Trusted Access for Cyber 和 Codex Security。Anthropic 则通过 Constitutional Classifiers 在模型层面拦阻滥用请求。这种「能力越强,权限越紧」的悖论,就是 2026 年 AI 安全行业最鲜明的特征。
基准测试背后:谁在定义「更好」?
OpenAI 公布的基准数据值得审视:CyberGym 上 GPT-5.5-Cyber 85.6%,Mythos 5 83.8%;ExploitGym 上 GPT-5.5-Cyber 39.5%(通用版 25.95%);SEC-bench Pro 上 69.8%(通用版 63.1%)。Mythos 5 在 ExploitGym 上的精确数据尚未公布——这种信息不对称提醒我们,「全面领先」需要放在更完整的图景中审视。
但更根本的问题正在浮现:当 AI 发现漏洞的速度超过人类修补能力,基准测试中谁高 1.8 个百分点还有那么重要吗?
AI 安全的下半场:从「发现者」到「修复者」
转型对安全行业的冲击正在三个层面同步发生。
其一,安全工程师的角色正在被重新定义。 当 AI 能在几分钟内扫描整个代码库并生成带攻击路径分析的报告时,安全工程师的价值将转移到判断 AI 建议是否合理、在复杂上下文中做出权衡决策——从执行者变成审核者。
其二,「开发者安全」的门槛在急剧降低。 如果 Codex Security 让每个开发者身边都有一个安全工程师,安全将从「阶段性审计」变成「代码编写中的实时伴行」。问题不再是「上线前查过没有」,而是「写每一行代码时 AI 有没有拦下来」。
其三,开源维护者压力已逼近临界点。 Patch the Planet 能否规模化,将决定开源软件在 AI 时代的安全底座。Trail of Bits 带着补丁而非漏洞报告下场的做法,或许将成为新标准——维护者已没有余力再应付更多的「发现」了。
最后,一个更大的问题悬而未决:当防御者能用 AI 修漏洞,攻击者能用 AI 做什么? GPT-5.5-Cyber 在 ExploitGym 上的巨大跃升是一句无声的提醒。Anthropic 的 Nicholas Carlini 透露过:他们最初的目标不是做一款找漏洞的模型,而是一款会写代码的模型——安全能力只是副产品。这意味着任何达到前沿水平的模型都天然具备双重用途。
AI 安全竞赛的下半场已经开始了。上半场比的是谁能更快地发现漏洞;下半场比的,是谁能在漏洞被利用之前让代码不再脆弱。OpenAI 和 Anthropic 在基准测试上针锋相对,在合作伙伴名单上互不相让——但在面对这个核心命题时,他们说出了完全一样的话。
不是模型不够快了。是修代码的人不够用了。
快报