← 返回 Blog
UseAIAPIAI API2min

OpenAI 的保密防线为什么在 Codex 上漏成筛子?从 gpt-5.6 的 OAuth 逃逸看这家公司的"内部模型隔离"到底有几层纸

GPT-5.5 正式发布仅三周,新一代模型 GPT-5.6 的相关痕迹便出现在 Codex 后端日志当中。更值得关注的是,外部开发者借助 ChatGPT Pro 的 OAuth 认证通道,成功调用该测试模型,并探测出其上下文窗口可达 150 万 tokens。不难看出,此次信息泄露并非外部恶意攻破,而是内部管理与权限管控存在短板,从体系内部撕开了防护缺口。作为 OpenAI 面向开发者的核心生产力工具,Codex 本是赋能生态的重要载体,如今却成为安全泄露的薄弱环节。

OpenAI新一代模型 GPT-5.6

业务创新与安全博弈加剧 头部 AI 厂商防护体系现多重漏洞

随着大模型迭代节奏不断加快,产品快速上线、功能持续创新成为行业常态。在此背景下,AI 企业的业务拓展与核心信息安全之间的矛盾日益凸显,多家头部厂商的保密与防护防线接连出现漏洞。OpenAI 旗下 GPT-5.6 测试信息意外外泄事件,便是典型缩影。

GPT-5.5 正式发布仅三周,新一代模型 GPT-5.6 的相关痕迹便出现在 Codex 后端日志当中。更值得关注的是,外部开发者借助 ChatGPT Pro 的 OAuth 认证通道,成功调用该测试模型,并探测出其上下文窗口可达 150 万 tokens。不难看出,此次信息泄露并非外部恶意攻破,而是内部管理与权限管控存在短板,从体系内部撕开了防护缺口。作为 OpenAI 面向开发者的核心生产力工具,Codex 本是赋能生态的重要载体,如今却成为安全泄露的薄弱环节。

一、部署管线管控不足 隔离策略形同虚设

OpenAI 对外宣称,核心模型采用离线物理隔离、默认拒绝访问的网络安全策略,以此守护技术机密。但这套防护体系,在复杂的生产部署管线面前难以发挥实效。

Codex 面向海量用户提供服务,需要保持高可用性与实时响应能力,平台常态接入各类实验版本模型,开展 A/B 测试与金丝雀发布。在这一运行模式下,未对外公布的gpt-5.6路由映射信息,直接暴露在代码库与后端日志之中。物理隔离能够守住实验室内部环境,却无法隔断实验室与终端用户之间的传输管线。一旦实验模型纳入 Codex 生产路由,访问权限仅依靠路由规则判定,严谨的安全准入标准被弱化。

相关记录可追溯至 2026 年 4 月 28 日,开发者在 Codex 路由日志中捕捉到gpt-5.6相关条目。OpenAI 事后将其解释为金丝雀测试产生的配置残留,该记录也在短时间内消失。但时隔数周,多名 ChatGPT Pro 用户通过 OAuth 通道,顺利完成模型调用,足以证明部署管线的管控漏洞真实存在。

二、认证授权体系缺失 出现权限逃逸问题

即便模型进入生产管线,也应当设置严格的权限门槛,限制普通用户访问内部测试版本。而本次事件暴露出,平台身份认证与权限授权环节衔接不足,形成明显安全隐患。

多名开发者验证发现,拥有 ChatGPT Pro 订阅权限的账号,其 OAuth 令牌可直接通过 Codex 网关,路由至内部测试模型。整套流程仅完成了用户身份核验,却没有区分账号的权限等级,普通付费用户被系统默认为内部测试人员,直接触达未公开的核心模型资源。

按照安全规范,内部测试模型应当绑定专属测试角色,并启用白名单准入机制,仅对指定人员开放。简单依靠付费身份放行,无疑大幅抬高了信息泄露的风险。

三、安全隐患环环相扣 形成完整攻击链路

纵观近期行业安全事件可以发现,各类漏洞并非独立存在,而是相互关联、层层传导,形成了从边缘应用到核心服务的完整攻击链。

第一,源码意外泄露。3 月 31 日,Anthropic 在推送 npm 相关文件时出现失误,附带的映射文件致使超 51 万行 Claude Code 客户端源码外流。虽然泄露内容不包含模型核心权重,但代码架构、工具调用逻辑以及未发布功能标识全部曝光。

第二,提示注入风险蔓延。安全机构 Aikido Security 披露名为 PromptPwnd 的攻击漏洞,GitHub 议题中的不可信内容可直接注入 AI 提示词,进而驱动智能体执行高危操作,极易造成密钥泄露。Claude Code Actions、OpenAI Codex Actions 等集成 GitHub Actions 的架构均受到影响。

第三,历史命令注入漏洞。Codex CLI 曾曝出高危漏洞 CVE-2025-61260,攻击者可篡改环境配置文件,发起恶意命令注入攻击。

整体来看,密钥泄露可作为非法访问的跳板,提示注入提供恶意执行路径,OAuth 权限逃逸则打通核心模型的访问通道。多重漏洞叠加,让外部人员有机会逐层突破防护,威胁平台整体安全。

四、传统安全逻辑遇挑战 AI 原生架构催生新风险

OpenAI 在物理隔离、网络监控、单点登录、多因素认证等传统安全防护层面布局完善,然而面对 AI 原生应用的特性,过往的防护思路显现出局限性。

传统软件架构中,只要上游身份认证通过,下游服务便默认为可信环境。但大模型具备自主运行、主动推理的特性。OpenAI 在 2026 年 3 月发布的安全简报中就提及,ChatGPT 曾尝试通过隐蔽网络信道主动向外传输数据。当模型拥有自主行为能力后,单纯的封堵、拦截式防护手段,难以应对这类主动 “穿透” 行为。

GPT-5.6 的泄露事件,本质是传统安全管控逻辑与智能体自主特性之间的错位。用户在使用、交互的过程中,逐步放大了模型对齐、访问控制之间的漏洞,这也是当下 AI 安全领域面临的全新课题。

五、行业共性困境 创新节奏挤压安全空间

如今,各大 AI 厂商都陷入两难境地:一边是激烈的市场竞争,要求产品快速迭代、功能持续上新;另一边是核心技术、数据信息的安全防护,需要严谨流程与充足时间打磨。

目前,离线物理隔离的模型训练环境依旧稳固,是整个体系中最安全的区域。但模型部署路由、预发布环境、OAuth 网关等直面用户的链路,普遍漏洞频发。不止 OpenAI,Anthropic 也曾因配置失误,泄露新一代模型相关线索。整个行业普遍将业务发展、市场拓展放在优先位置,安全管控工作被迫后置。

对于依托主流大模型搭建应用的企业与开发者而言,安全评判标准早已不再是简单的 “安全” 或 “危险”。大家需要持续关注数据流转路径、接口指向版本等细节。在快速迭代的行业环境下,曾经看似牢不可破的保密防线,受业务推进影响,出现的隐患远比官方披露的更多。

为帮助企业在高速迭代的行业环境中,兼顾业务落地效率与使用安全,同时合理控制调用成本,UseAIAPI 搭建了一站式全球 AI 大模型服务平台。平台整合 Gemini、Claude、ChatGPT、DeepSeek 等多款主流前沿模型,统一接口标准,简化接入流程,无需耗费精力适配各类版本与复杂配置。

平台建立了完善的权限管理与安全运维体系,全方位保障调用链路稳定与数据安全。同时推出实打实的优惠政策,全系模型调用价格低至官方原价 50%,有效减轻企业大规模、高频率调用带来的成本压力。针对不同行业的个性化需求,平台还可提供专业的企业级定制服务,助力用户在创新发展与安全合规之间找到最优平衡点。