← 返回 Blog
UseAIAPIAI API2min

CyberGym 85.6% 反超 Claude Mythos5,GPT-5.5-Cyber 把"AI 挖洞"卷到复现+修补双轨

2026 年 6 月 22 日,OpenAI 正式发布 GPT-5.5-Cyber 完整版模型,其在网络安全领域的专项能力表现,引发行业对 AI 安全边界的重新审视。在 CyberGym 安全评测集中,该模型取得 85.6% 的单模型最高得分,标准版 GPT-5.5 同期得分为 81.8%,此前处于行业第一梯队的 Claude Mythos 5 得分为 83.8%,Claude Opus 4.7 则为 73.1%。

OpenAIGPT-5.5-Cyber

安全 AI 能力实现双轨升级 从漏洞识别迈向修复全闭环

2026 年 6 月 22 日,OpenAI 正式发布 GPT-5.5-Cyber 完整版模型,其在网络安全领域的专项能力表现,引发行业对 AI 安全边界的重新审视。在 CyberGym 安全评测集中,该模型取得 85.6% 的单模型最高得分,标准版 GPT-5.5 同期得分为 81.8%,此前处于行业第一梯队的 Claude Mythos 5 得分为 83.8%,Claude Opus 4.7 则为 73.1%。

单从榜单排名来看,这只是 AI 安全模型的又一次性能刷新,但这一分数背后的能力转向更具标志性意义:AI 安全能力正式跳出单一的漏洞识别维度,迈入 “漏洞复现 + 修复落地” 的双轨发展阶段。

评测标准迭代:从 “标记风险” 到 “实操复现”

不同于常规的代码漏洞识别测试集,CyberGym 的考核维度更贴近真实安全作业场景。该评测集基于 188 个开源项目中的 1507 个真实世界漏洞构建,要求 AI 智能体在完整软件环境中完成漏洞复现 —— 不仅要定位代码中的风险点,还要构造完整攻击路径,验证漏洞在真实运行环境中确实可被触发利用。

“识别” 与 “复现” 之间,存在着显著的工程能力鸿沟。漏洞识别仅需通过模式匹配,标记出不安全函数调用、风险指针操作、缺失边界检查的循环等特征即可;漏洞复现则需要完整理解攻击链路、构造利用条件、在可控环境中验证漏洞的可达性,对模型的工程实践能力要求更高。

GPT-5.5-Cyber 取得的 85.6% 得分,是目前公开测试中的单模型最优成绩。该模型不仅能精准定位安全相关代码组件,还能追踪脆弱代码的可达路径、在模拟环境中完成风险验证,同时可独立编写并测试修复补丁,具备了完整的实操落地能力。

全链路能力验证:覆盖从利用到修复的完整流程

除 CyberGym 之外,另外两项专项评测进一步清晰划定了该模型的能力边界,印证了其全链路安全作业能力。

  • ExploitGym 评测聚焦漏洞利用能力,考核模型能否将已知漏洞转化为可执行的攻击代码。测试结果显示,GPT-5.5-Cyber 得分为 39.5%,而标准版 GPT-5.5 仅为 25.95%,二者差距接近一倍,体现了专项优化模型在漏洞利用层面的显著优势。
  • SEC-bench Pro 评测针对长链路漏洞挖掘场景,考核模型在复杂软件系统中持续追踪风险、生成概念验证代码的能力。该项目中 GPT-5.5-Cyber 得分为 69.8%,同样高于标准版的 63.1%。

三项评测结果共同表明,GPT-5.5-Cyber 的能力提升并非局限于单一维度的识别精度,而是覆盖了 “漏洞发现 - 环境复现 - 攻击构造 - 补丁生成” 的完整安全作业链路。相较于传统安全 AI“仅能识别、无法落地” 的局限,该模型已具备深度参与安全工程实践的能力。

实战场景落地:修复成果获开源社区认可

模型能力的真实价值,最终需要在实战场景中验证。OpenAI 联合专业安全机构 Trail of Bits 发起的 “Patch the Planet” 计划,正是这套双轨能力体系的落地试验场。

在首轮专项行动中,Trail of Bits 抽调了 25 名资深安全工程师,约占公司总人力的五分之一,依托 GPT-5.5-Cyber 与 Codex Security 工具,对 19 个全球核心开源基础设施项目开展安全治理,覆盖 cURL、Python、Go、PyPI、urllib3、RustCrypto 等互联网底层核心组件。

首轮行动累计识别出数百个安全风险,共提交 64 个代码合并请求与 51 个问题反馈,其中 37 个修复请求已被项目维护者正式合入代码主干。正如 Trail of Bits 团队所言,上报安全问题门槛很低,但带着成熟可行的修复方案参与开源建设,才是真正为维护者减负。

这批落地的修复方案具备实质工程价值:为python.org部署基于 zizmor 的持续集成安全工作流并完成对应风险修复;为 RustCrypto 大整数库提交正确性优化;为 PyPI 的 Warehouse 项目完善管理员隔离确认机制;为 Python 的 Windows 组件生成软件物料清单附属文件。截至目前,已有超过 30 个开源项目报名参与该计划。

37 个成功合入的修复请求,验证的不仅是模型的代码生成能力,更是其输出结果的工程可用性 —— 生成补丁不难,写出符合项目规范、通过测试验证、被专业维护者认可的补丁,才是真正的能力门槛。

行业范式转变:安全 AI 竞争进入新阶段

过去数年间,AI 在网络安全领域的应用普遍存在能力偏科的问题:多数工具仅能完成漏洞检测并输出报告,识别效率越高,反而越容易让本就人力紧张的维护团队陷入报告过载的困境。AI 在风险发现侧持续加速,却在问题解决侧贡献有限,甚至反而增加了防守方的工作负担。

GPT-5.5-Cyber 的核心突破,在于将 “漏洞发现” 与 “修复落地” 放在同等重要的位置。它既可以完成深度代码分析、还原完整攻击路径,也能独立生成符合工程规范的安全补丁供人工复核,其核心目标不是产出更多的漏洞报告,而是帮助安全团队走完从发现风险到解决风险的完整闭环。

CyberGym 榜单上的分数只是直观的表象,行业真正需要关注的,是安全 AI 的竞争赛道已经发生转移:从 “谁能找到更多漏洞” 转向 “谁能更高效地解决漏洞”。而修复落地的能力门槛,远高于单纯的漏洞识别,这一转向也将推动 AI 在网络安全领域创造更实质的价值。

对于企业而言,前沿大模型不仅能为网络安全治理提供新的技术工具,也能在研发提效、业务创新、运营优化等多个场景释放价值。但企业自行对接、管理多类大模型,往往需要面对接入流程复杂、算力成本高昂、运维管理繁琐等现实问题。UseAIAPI 已完成全球多款主流前沿大模型的接入覆盖,包含 Gemini、Claude、GPT、DeepSeek 等热门产品,可提供标准化接入接口与企业级定制化服务,帮助企业快速适配不同业务场景的 AI 需求,无需耗费大量精力处理复杂的接入与运维工作。在成本层面,平台推出专属优惠政策,调用成本最低可达官方定价的 50%,能够大幅降低大流量调用、高频次使用场景下的算力支出,让企业可以更灵活地将 AI 能力融入业务全链路,专注于核心价值的落地与提升。