最好的安全 AI 如今被门禁式限制——按你不在名单上来做规划

今年春天，AI 在安全领域悄悄跨过了一条线。四月，Anthropic 的 Mythos—— 一个为自主发现并修复漏洞而构建的模型——自己找出了 数千个此前无人知晓的零日漏洞， 这一事件被人们称为“Vulnpocalypse”（漏洞末日）。随后 OpenAI 推出了 GPT-5.5-Cyber， 这是其旗舰模型的一个版本，经过训练后在安全工作上更宽松—— 红队、渗透测试、漏洞利用验证。

藏在这一切之下的，是一个让人不安的事实：同一个能找出上千个漏洞、 让你去修补的模型，也能找出它们，让别人从那里长驱直入。 防御和进攻是同一种能力。于是各大实验室做了件新鲜事—— 他们把最好的安全模型放到了天鹅绒围栏（VIP 门槛）后面。

“门禁式限制”到底是什么意思

GPT-5.5-Cyber 和 Mythos 不是人人可得。它们只提供给经审核的合作伙伴。 OpenAI 运营着一个 “面向网络安全的可信访问”计划， 并刚刚将其扩展到欧洲各国政府、网络安全机构和欧盟机构； Anthropic 对 Mythos 把关得更紧，放在一个合作伙伴计划之后，首批名单里 包括那些大型安全公司。如果你不在名单上，你就拿不到能力最强的防御者。 网络前沿是被租出去的，不是卖出去的——而且只租给获批的租户。

为什么这说得过去——又为什么让人不安

两件事都成立，所以请同时握住它们。

它说得过去：一个自主的漏洞利用查找器落到随便什么人手里，是真的危险， 而你不可能把一个能生产出上千个可用零日漏洞的工具开源。限制它， 是看起来负责任的做法。

它也让人不安，因为这意味着现在由一家私营公司来决定谁能得到良好的防御。 如果机器速度的漏洞发现是防御的新前沿，而只有一份精选名单上的人能拿到， 那么其他所有人——小公司、开源维护者、没有 OpenAI 合同的医院—— 就都在用上一代的工具做防御。“谁受到保护”这件事，刚刚变成了一个商业决定， 由同一小撮公司做出，而这些公司同时也在出售进攻能力。这不是阴谋。 这只是当下市场的形状，值得把它说出来。

而且围栏照样会漏

下面这部分让天鹅绒围栏成了一种虚假的安慰：能力会扩散。 专家警告说，这些模型的衍生版本将 足够强大，足以制造大乱， 哪怕它们落后于前沿一步。于是你得到了最糟糕的局面： 防御者是个小圈子，攻击者是所有人，而两者之间的差距由一家厂商的合作伙伴名单来设定。 我一周前写过一个业余者用现成的 AI 攻破了九个政府机构。那个人永远不会出现在任何人的可信访问名单上， 而这丝毫没有拖慢他。

如果你不在名单上（我们大多数人）的实话

别等救兵，因为它多半不会来找你。由此有三件事：

• **假设你的攻击者已经被 AI 加持了。**不是明年——是现在。把你的防御 设计成针对一个能以机器速度找出你的漏洞的对手，无论你能不能做到这一点。
• **决定结局的，仍然是那些无聊的防御。**2026 年那些上头条的入侵， 栽在弱密码和缺失的 MFA 上，而不是什么奇异的漏洞利用。AI 抹掉了攻击的 人力门槛；它并没有撬开锁。所以那些不光鲜的基本功，现在更重要，而不是更不重要。
• **你不需要被门禁式限制的模型也能做防御。**开放权重的安全工具落后前沿几个月， 但仍然比你手动来找得更快地揪出那些明显的漏洞——而且它在你自己的 硬件上运行，没有人能给它设门禁。前沿网络模型 在围栏后面；那个“八成一样好”的，是个下载。

重点

今年春天，网络军备竞赛多了一条新规则：最好的武器是被租出去的，不是卖出去的， 而且只租给获批的租户。如果你是政府或财富 100 强，你受到了保护。 如果你是其他所有人，教训不是去游说求一个席位。教训是：你的安全不能依赖 一份你不在其上的合作伙伴名单。把不光鲜的基本功做好，假设攻击者拥有你没有的 AI， 依靠那些没人能设门禁的、非常好用的本地工具。救兵不会来。做你自己的救兵。