OpenAI 推出 GPT-5.4-Cyber:專為防禦性資安設計的 AI 模型
OpenAI 於 4 月 14 日發布 GPT-5.4-Cyber,這是其旗艦 GPT-5.4 模型針對資安專業人員微調的特殊版本,採用分層授權的「可信存取」計畫管控使用。此次發布標誌著 AI 實驗室在數位防禦領域的軍備競賽進入新階段,並與 Anthropic 的 Claude Mythos 直接交鋒。
4 月 14 日,OpenAI 在 X 平台低調宣布將「擴大可信存取計畫(Trusted Access for Cyber),為認證的資安防禦者新增更多存取層級」,然而這句看似平淡的聲明背後,卻藏著一個重大的策略轉向。幾小時後,全貌逐漸清晰:OpenAI 正式推出 GPT-5.4-Cyber——一個基於旗艦模型 GPT-5.4、針對資安攻防研究量身微調的特殊版本。這款模型被刻意設計為比 OpenAI 過去任何產品都更少安全限制。
整個發布計畫雖然以「防禦」為名,卻是目前最清楚的訊號:頂尖 AI 實驗室已把資安視為一個獨立的產品類別——有自己的存取管控機制、自己的評測基準,也有自己的競爭邏輯。
GPT-5.4-Cyber 能做什麼
GPT-5.4-Cyber 建構於 ChatGPT 所使用的同一個 GPT-5.4 基礎架構,但有一個關鍵差異:它針對一般用途模型通常會拒絕或保守回應的資安任務,大幅降低了拒絕率。
技術上最值得關注的能力是二進位逆向工程。這個模型能分析沒有原始碼的編譯後執行檔,找出潛在的惡意程式特徵、安全漏洞與脆弱點。這類工作過去需要 IDA Pro 或 Ghidra 等專業工具,並搭配深厚的領域知識;GPT-5.4-Cyber 據說能大幅加速這個分析流程,並以自然語言清楚解釋二進位模式在資安上的意涵。
除了逆向工程,這個模型還擅長跨程式碼庫的漏洞挖掘、惡意程式行為分析、威脅行為者模擬,以及為 SIEM(安全資訊與事件管理)系統生成偵測規則。OpenAI 表示,在內部測試中,模型已成功在主流作業系統與瀏覽器中發現多類漏洞,但公司拒絕透露已通知哪些廠商進行負責任揭露。
分層存取架構
GPT-5.4-Cyber 並不對公眾開放。OpenAI 透過「資安可信存取(TAC)」計畫控管使用權限,該計畫最初於 2026 年 2 月與一筆 1,000 萬美元的資安補助計畫同步推出。
TAC 架構目前分為多個層級:
- 標準層:適用於通過身份驗證的資安組織與廠商,可使用強化的資安提示功能,且滲透測試情境的拒絕率更低。
- 專業層:面向負責保護關鍵軟體基礎設施的團隊,可完整存取 GPT-5.4-Cyber 模型,並享有針對自動化資安流程優化的 API 速率上限。
- 個人防禦者層:此次新增的層級,目標是讓「數千名通過認證的個人防禦者」——包括資安研究員、漏洞賞金獵人及獨立分析師——也能取得存取權,但需通過更嚴格的身份驗證流程。
這套存取架構代表 OpenAI 在一道高難度的鋼索上試圖保持平衡:讓強大的資安能力可供合法防禦者使用,同時不讓同樣的工具落入攻擊者手中。OpenAI 坦承模型可能遭濫用,但主張以身份驗證為基礎的存取管控,比一刀切的能力限制更有效——因為後者只會把真正的威脅行為者推向限制更少的開源替代方案。
與 Anthropic Mythos 的正面競爭
GPT-5.4-Cyber 的發布時機耐人尋味。就在幾天前,Anthropic 才宣布「玻璃翼計畫(Project Glasswing)」——與 Amazon、Microsoft、Apple、Google 及 Nvidia 攜手,共同測試旗艦模型 Claude Mythos 在防禦性資安領域的應用。根據 Anthropic 的披露,Mythos 在內部紅隊演練中已在作業系統、瀏覽器與企業軟體中發現「數千個」重大漏洞。
Anthropic 將玻璃翼定位為安全優先、以產業聯盟為核心的部署方式。OpenAI 的 TAC 發布則像是直接的回應:Anthropic 走的是謹慎、分段式的產業夥伴路線,OpenAI 則透過認證個人存取,快步邁向更廣泛的推出。
競爭邏輯十分清晰。資安市場年規模逾 2,000 億美元,而 AI 正準備重塑企業、政府與研究人員的資安工作方式。率先在資安工具領域建立主導地位的實驗室——無論是在能力層面還是與主要安全廠商的可信存取關係上——都將拿下可觀的企業市場。
規模化的雙重用途困境
資安領域向來存在攻守難分的特性:找漏洞的工具和利用漏洞的工具本質上相同,差別只在於意圖與授權。AI 讓這個動態大幅放大。
資安研究員用 GPT-5.4-Cyber 找出廣泛部署函式庫中的零時差漏洞,正是 OpenAI 的本意。但同樣的能力若落入不軌之手,可能在修補程式發布前就加速找到可利用的漏洞。TAC 計畫的身份驗證是 OpenAI 的應對方案——但驗證身份無法驗證意圖,而「可信存取」計畫在歷史上也一再面臨憑證共享或內部人員濫用的問題。
OpenAI 賭的是防禦價值大於風險。其論點是:防禦者在結構上處於劣勢——攻擊者只需找到一個漏洞,防禦者卻必須保護所有環節。若 AI 能扭轉這種不對稱性,讓防禦者也能大規模、自動化地發現高品質漏洞,那麼即便考量濫用風險,整體資安結果仍是正向的。
這個論點有其道理,但也尚未在 OpenAI 現在所嘗試的規模下接受過真正的考驗。
後續展望
OpenAI 表示,隨著公司對驗證基礎設施建立信心,GPT-5.4-Cyber 的存取範圍將在未來幾個月持續擴大。公司也正在釋出與現有資安平台整合的路線圖訊號:多家主要端點偵測與回應(EDR)廠商及受管資安服務供應商(MSSP)據報正處於早期洽談階段,討論如何將 TAC 層級的存取能力嵌入現有產品中。
對企業資安團隊而言,實際意義是:AI 驅動的漏洞分析正以快過多數人預期的速度,從實驗性走向實戰化。OpenAI 的存取管控是否足夠有效——還是 GPT-5.4-Cyber 會成為過快部署高危 AI 的警世故事——答案將在未來幾個月揭曉。
無論如何,資安 AI 的軍備競賽已正式開跑。