OpenAI 發布 GPT-5.4-Cyber:對 Mythos 的直接回應,但走了一條不一樣的路
2026 年 4 月 14 日,OpenAI 在 Anthropic Project Glasswing 發布一週後上線 GPT-5.4-Cyber,一個面向安全專業人員的 fine-tuned 模型,附帶 binary reverse engineering 能力。兩家在同一個議題上做出完全不同的商業決策——這才是本週最有意思的對照。
2026 年 4 月 14 日,就在 Anthropic 公開 Project Glasswing 後的第七天,OpenAI 發布了 GPT-5.4-Cyber。SiliconANGLE、Help Net Security、The Hacker News 和 Axios 都在同一天跟了這條新聞。
時間點幾乎不可能是巧合。但看細節會發現,OpenAI 做的不是「我們也有」的跟風,而是一個明確不同的商業決策。
兩家做的是同一件事,但不是同一種事
把 GPT-5.4-Cyber 和 Claude Mythos 放一起看:
| Claude Mythos Preview | GPT-5.4-Cyber | |
|---|---|---|
| 公開程度 | 不普遍開放,約 40 家白名單 | 經驗證的安全專業人員可申請 |
| 模型定位 | 頂級通用能力,可自主 exploit | GPT-5.4 的 fine-tune 版本,放寬安全拒答 |
| 申請入口 | Anthropic 主動邀請 | chatgpt.com/cyber 自行身份驗證 |
| 對外說法 | 太強了,不該賣 | 給對的人用才安全 |
一個把強模型藏起來,只給極少數機構。一個把強模型的 safety guardrail 放寬,開放給一個可驗證身份的、但規模大得多的群體。
兩邊都在回應同一個問題,AI 能力在安全領域超過了人類能處理的節奏,但選了兩條完全不同的路。
GPT-5.4-Cyber 具體是什麼
從多家報導拼出來的事實:
發布日期:2026 年 4 月 14 日
定位:GPT-5.4 的一個 fine-tuned variant,「cyber-permissive」,明確對安全工作場景降低拒答。官方稱之為面向 defensive security work。
新能力:
- Binary reverse engineering。能分析編譯過的二進制檔,找出惡意代碼、漏洞和安全弱點,不需要原始碼
- 惡意軟體分析
- 漏洞檢測和研究輔助
訪問方式:
- 個人使用者到
chatgpt.com/cyber做身份驗證 - 企業透過 OpenAI 業務代表申請
- 限定在「vetted security vendors, organizations, researchers」範圍內
定價:官方和第三方報導都沒有公開具體的 per-token 價格。The Hacker News 的報導 暗示它是分層訪問的而不是普通商品,所以計費可能綁在 enterprise 合約裡。
降低拒答 這件事值得多想一層
一個通用 LLM 在面對「分析這個二進制」或「解釋這段 shellcode」時,預設會拒答或警告。這是 2023–2025 年整個業界的共識做法。
GPT-5.4-Cyber 把這道門往後推了一步:只要你身份被驗證過,我會正面回答。
這聽起來只是一個產品功能,但它其實繞過了一個老辯論。過去三年大家吵的是:模型到底該不該回答某一類問題? OpenAI 這次的回答是:問題本身錯了,該問的是誰在問。
這個邏輯有可取之處,但也有風險:
可取的一面:大量安全工作需要 LLM 對攻擊手法的理解,而通用模型的過度拒答讓紅隊和 SOC 團隊實際上在用不到 AI 輔助。Cyber 版本直接對準這個缺口。
風險的一面:身份驗證並不等於可信。過去雲端和 GitHub 都曾經被濫用身份帳號入侵。OpenAI 的驗證機制細節目前還沒公開,這會是它能不能規模化的關鍵。
兩種路線會怎麼分勝負
我不覺得哪一條路會絕對正確,但可以拆一下它們各自適合的場景。
Anthropic 的路線適合:能力真的跨越了某個臨界點、而且未來短期內沒有對手能訓出類似模型的時候。你不公開它,買的是「這能力暫時只在我這」這個時間窗。但這個窗有多大,不由你決定。
OpenAI 的路線適合:能力雖然強,但市場上很快會有類似東西出現,或者這個能力本身更像「工具」而不是「武器」。這種情況下,提供身份驗證 + 合規工作流,比壓著不賣更實際。
前者賭的是能力稀缺性,後者賭的是合規基建能力。Mythos 如果對手很快就能訓出來(這是可能的,GLM-5.1 同一週才剛發布,SWE-bench Pro 已經 58.4),Anthropic 的策略會變成只是延後了一點商業化。但如果對手跟不上,那就真的定義了一個新的商業模式,「訓得出但不賣」也是一種 moat。
作為使用者,這週發生了什麼
如果你是一個安全研究員或者紅隊工程師,這週你的可用工具其實擴大了:
- 通過
chatgpt.com/cyber驗證身份後,可以正面問 GPT-5.4-Cyber 以前會被拒答的問題 - 如果你所在的機構在 Glasswing 名單上,你可能有機會接觸 Mythos
- 如果你做開源,也可以等 GLM-5.1 的安全能力繼續開源
- Burp Suite、Ghidra、IDA Pro 這些傳統工具搭配 LLM,在 cyber 版本下工作流會更順
但如果你是個普通開發者,這兩件事對你的日常工作影響都不大。真正會傳下來的是接下來幾個月裡基於這兩個模型設計出來的安全產品,比如自動化的軟體供應鏈審計工具,或者針對特定語言棧的漏洞掃描服務。
這一週真正值得記住的,不是誰的分數更高,而是兩家都同時承認了一件事:通用 LLM 對通用市場的模式,不適合 frontier 能力。 差別只在於這件事該怎麼處理。
分享文章
留言評論
0 則評論暫無評論,搶先發表你的看法吧!
相關文章
Claude Mythos Preview:Anthropic 選擇不公開賣自己最強的模型
2026 年 4 月 7 日 Anthropic 發布 Claude Mythos Preview,SWE-bench Verified 拿下 93.9%,但它明確表示這個模型不會普遍開放,只給 Project Glasswing 的約 40 家白名單機構用。這是 AI 商業邏輯的一次反轉——能賣的沒賣、不能賣的講得更多。
OpenAI 發布 GPT-5.4:首個支援電腦操作的企業級 AI 模型
OpenAI 於 2026 年 3 月 5 日發布 GPT-5.4,這是其迄今為止最強大的專業級 AI 模型,首次實現原生電腦操作能力,可自主控制軟體並完成跨應用程式任務。
Stanford AI Index 2026 + PwC 報告:AI 收益有 75% 被 20% 公司拿走了
2026 年 4 月 13 日同週內,Stanford HAI 發布 AI Index 2026、PwC 放出 1,217 位高管的 AI 表現研究。兩份報告指向同一個不太舒服的事實:AI 收益的集中度已經超過任何過去 20 年的技術浪潮。這會把產業推向什麼方向?