GPT-5.5通關黑客模擬測試，AI攻擊能力進入新階段

英國人工智能安全研究所（AISI）最新測試顯示，OpenAI的GPT-5.5與Anthropic的Claude Mythos Preview在網絡安全評估中打成平手。兩家頂尖模型的攻擊能力雙雙突破關鍵閾值——這是行業首次出現多款模型能獨立完成多階段企業網絡入侵模擬。

測試背后有個值得玩味的細節：GPT-5.5在孤立的安全任務上甚至小幅領先，但在完整的32步網絡滲透中，成功率反而略低于對手。這種"單項強、綜合弱"的反差，暴露出當前AI攻擊能力的真實邊界。

測試設計：95道題與兩座"網絡迷宮"

AISI的評估體系分為兩層。第一層是95道奪旗賽題目，按難度分為四級，覆蓋逆向工程、內存漏洞利用開發、密碼學攻擊、混淆惡意軟件分析等技能。這些題目由網絡安全公司Crystal Peak Security和Irregular聯合設計。

在最高"專家"難度，GPT-5.5平均成功率71.4%，Claude Mythos Preview為68.6%。差距在統計誤差范圍內，但兩者已明顯甩開前輩——GPT-5.4僅52.4%，Claude Opus 4.7只有48.6%。

第二層是更關鍵的"網絡靶場"測試。模擬真實企業環境，包含多臺主機、服務和漏洞，考驗AI連續決策能力。

其中"The Last Ones"（TLO）模擬覆蓋4個子網、約20臺主機，共32個步驟。AI從零權限起步，需自行發現漏洞、竊取憑證、橫向移動，最終抵達受保護數據庫。AISI估計，人類專家完成需約20小時。

GPT-5.5在10次嘗試中完全通關2次，Claude Mythos Preview為3次。這是目前僅有的兩款能獨立完成TLO的模型。

算力Scaling：越"想"越能打

AISI發現，推理計算量與成功率正相關。模型分配的"思考"令牌越多，成功入侵概率越高，且尚未觸及天花板。

這意味著當前成績并非能力上限。只要愿意燒更多算力，兩款模型還有提升空間——對防御方而言，這不是好消息。

但測試條件存在重大簡化：沒有主動防御、沒有安全監控、沒有真實世界的警報后果。GPT-5.5和Mythos能否突破加固系統，仍是未知數。不過針對防護薄弱的網絡，能力已經到位。

工業系統仍是盲區

第二個模擬場景"Cooling Tower"聚焦工業控制系統攻擊，共7個步驟。目前尚無模型能通關。

GPT-5.5與Mythos一樣，卡在IT層面的前置步驟，而非工控系統本身。關鍵基礎設施的物理隔離和專用協議，暫時構成AI難以跨越的障礙。

從個案到趨勢：能力躍遷的副產品

AISI將此次結果視為 broader pattern 的印證。Claude Mythos在2026年4月展現的攻擊能力，并非孤例，而是自主性、推理能力和編程能力綜合提升的必然結果。

這解釋了為何兩款架構不同的模型幾乎同時突破閾值。底層能力的進步，正在批量轉化為可被用于攻擊的實操技能。

對安全從業者來說，一個尷尬的現實是：基礎奪旗題早在2026年2月就被所有前沿模型滿分攻克。專家級任務的防線也在快速失守。現在連多階段網絡滲透這種"畢業考試"，都有模型能獨立通關。

防御方的窗口期正在收窄。當AI的攻擊能力從"需要人類輔助"進化到"給定目標即可自主執行"，安全運營中心的響應流程、威脅狩獵的假設前提，都需要重新設計。

更深層的問題在于評估本身。AISI的測試是"開卷考試"——已知環境、已知漏洞、無對抗。真實攻擊是"閉卷"且"有監考"的。模型在壓力下的表現衰減、面對未知漏洞的泛化能力、被檢測后的應變策略，這些維度目前缺乏系統評估。

但即便考慮這些折扣，兩款模型展現的規劃能力和工具調用連貫性，已經超出傳統自動化攻擊框架的范疇。它們不是更快腳本，而是能根據中間結果動態調整策略的"學徒級"攻擊者。

Claude Mythos Preview的領先幅度（3/10對2/10）小到可以忽略，卻暗示了微妙差異：Anthropic在模型對齊上的投入，并未以犧牲攻擊任務表現為代價。這與"安全訓練會削弱能力"的常見假設形成有趣對照。

GPT-5.5的單項任務優勢與綜合場景劣勢，則可能反映OpenAI的訓練側重——針對明確目標優化，長鏈條自主規劃相對薄弱。這種差異會隨后續迭代縮小還是放大，值得持續觀察。

工業控制場景的集體失敗，暫時劃定了AI攻擊能力的物理邊界。但"Cooling Tower"僅7步且無人通關，恰恰說明這個邊界距離日常IT網絡還很遠。關鍵基礎設施的防御者獲得喘息空間，企業網絡的防守方沒有。

最耐人尋味的或許是AISI的措辭選擇。他們將結果框定為"趨勢證據"，而非單純的技術里程碑。這種表述暗示：類似能力的模型將批量涌現，監管和防御需要針對"一類系統"而非"個別產品"做準備。

當攻擊能力成為大模型的標配而非賣點，安全評估的重心也將轉移。從"能否做"到"多容易做"、"多快能做"、"多隱蔽能做"，這些操作層面的指標，會比通關率更能指導實際防御。

畢竟，2/10的成功率對競賽成績是羞辱，對真實攻擊者是可接受的試錯成本——只要每次嘗試足夠便宜，且不被發現。