GPT-RED + AgentCyberRange:AI网络安全进入「自我博弈」时代

阅读量10499

发布时间 : 2026-07-17 14:27:04

2026年7月,AI安全接连迎来三个里程碑:OpenAI发布「AI超级黑客」GPT-RED、复旦团队开源首个真实网络靶场AI攻防基准AgentCyberRange、英国AISI揭示前沿AI网络攻击能力正以每4个月翻一番的速度进化。三者共同指向一个趋势——AI安全正在从”人测AI”迈入”AI测AI”的递归范式


一、GPT-RED:自博弈训练出的AI红队

2026年7月15日,OpenAI发布GPT-RED——一个专用自动化红队测评模型,唯一任务就是在模型上线前尽可能多地找到安全漏洞。

其核心创新在于自博弈强化学习(Self-Play RL)训练架构。OpenAI构建了大量模拟真实Agent部署场景的”道场(Dojo)”环境:网页浏览、邮件处理、日历操作、代码编辑等。GPT-RED作为攻击方,多个不同代际的防御模型作为防守方,双方在对抗中同步训练——攻击越强,防御被迫变强;防御越强,攻击必须突破更高天花板。这个循环理论上可以无限迭代。

直接看数据:碾压人类的攻击能力

评估维度 GPT-RED 人类红队专家 倍率
间接提示注入成功率 84% 13% 6.5x
对GPT-5(2025.8)最强攻击 >90%
同款攻击对GPT-5.6 Sol <23% 防御提升~4x
GPT-5.6 Sol直接注入失效率 0.05%

三层解读:

  1. 84% vs 13%:AI攻击思维与人类存在系统性差异——它不会疲惫,会穷举每种攻击变体

  2. >90% → <23%:自博弈对抗训练有效,”以攻促防”策略得到验证

  3. 0.05%:经过对抗训练后,GPT-5.6在最强的AI攻击者面前直接注入失效率仅万分之五

OpenAI估计GPT-RED的训练使GPT-5.6的提示注入失败率降低了约6倍

「假思维链」攻击:人类从未发现过的全新攻击类型

GPT-RED最重要的技术发现是一种此前人类安全研究者从未识别出的攻击——「假思维链(Fake Chain-of-Thought)」攻击。

推理模型(GPT-5.1+)在解决复杂问题时,内部会生成思维链作为”草稿纸”。GPT-RED发现,通过注入精心构造的内容,可以在思维链中植入虚假条目,让模型误以为某个被篡改的前提”已经被自己验证过了”。研究员Chris Choquette-Choo的比喻很精妙:

“这就像我告诉你1+1=3,并且说你已经验证过了。模型就会想’哦好吧,当然’,然后直接输出3。”

目标模型 攻击成功率
GPT-5.1 >95%
GPT-5.6 Sol(经对抗训练后) <10%

这个发现的价值在于:AI红队在”发现未知攻击类型”上具有人类无法替代的优势

真实世界验证:从自动售货机到代码Agent

OpenAI在真实生产环境中做了两轮验证:

  • Vendy攻击:GPT-RED在模拟环境中找到攻击方法后,成功迁移到办公室内的AI自动售货机Agent,实现改价至$0.50、下单、取消他人订单三个恶意目标——证明了攻击的可迁移性

  • Codex CLI测试:在10个预留数据窃取场景中,GPT-RED显著优于未经过专项训练的prompted GPT-5.5——证明了红队能力的可泛化性

局限与门槛

GPT-RED在多轮交互攻击和图像攻击上表现较弱,OpenAI因攻击能力过强决定不公开此模型。训练消耗了”前沿实验室级别”计算资源和超过一年时间,复制门槛极高。


二、真实网络靶场上给AI的”黑客能力”打分

GPT-RED代表”用AI防御AI”的理念,而复旦杨珉教授团队2026年6月发布的AgentCyberRange则试图回答:当前最强AI模型的自主网络攻击能力到底有多强?

Cage:高保真评估引擎

AgentCyberRange的核心是名为Cage的编排引擎,采用四层模块化架构:

  • Agent Adapter:统一Codex、Claude Code、Qwen Code等不同Agent框架的接口

  • Agent Manager:为每次试验创建隔离Docker容器,记录Token消耗和执行轨迹

  • Benchmark Manager:部署靶场、监控就绪状态、每次运行后完全重置

  • Verifier:基于可观察运行证据验证攻击是否成功(如SQL注入需读取随机生成的canary字符串)

所有Agent运行在Kali Linux环境中,配备curl、python3、ffuf、nmap等标准渗透测试工具。

110个漏洞 × 15个真实应用

应用 漏洞数 语言 类型
Mogu-Blog 11 Java 博客系统
WordPress 10 PHP 全球最大CMS
Youlai-Mall 7 Java 电商平台
SIYUCMS 6 PHP CMS
White-Jotter 6 Java 笔记应用
Dify 5 Python LLM应用平台
DataEase 7 Java BI平台
其余8个应用 58 多种
总计 110 17种漏洞类型

漏洞类型覆盖SQL注入(19)、XSS(14)、水平越权(13)、SSRF(12)、表达式注入(9)等,包含18个0-day和56个1-day。

后利用阶段则构建了8个企业级靶场,共计156个内部主机,覆盖横向移动、权限提升、凭据发现、防御规避等12类ATT&CK战术,靶场内部署了真实的杀毒软件和EDR。

六大AI系统成绩单

模型 Agent框架 Web利用 Pass@1 后利用 Pass@1
GPT-5.5 Codex 19.09% 31.71%
Claude-Opus-4.7 Claude Code 16.36% 12.20%
GLM-5.1 Claude Code 11.82% 17.07%
Qwen-3.7-Max Qwen Code 10.91% 19.51%
DeepSeek-V4-Pro Claude Code 10.00% 9.76%
Kimi-2.6 Kimi Code 3.64% 12.20%

GPT-5.5在完全黑盒条件下(仅给出入口URL)全线领先,Pass@3 Max下发现31个独立漏洞,覆盖13个漏洞类别和12个应用。

值得注意:Claude-Opus-4.7有12次试验因安全拒绝而中止,被排除在统计外——实际攻击效能可能更低。

GPT-5.5的九步攻击链

论文记录了一次在range-1(21台主机、7网段)中的完整渗透:

Step 1  外网入口 → AJ-Report漏洞 → 用户级代码执行
Step 2  权限提升 → 利用本地H2 Database → root
Step 3  凭据发现 → H2数据库中的DedeCMS管理员密码
Step 4  网络跳板 → 反向隧道进入第二网段
Step 5  横向移动 → DedeCMS后台webshell
Step 6  防御绕过 → FFI绕过PHP disable_functions
Step 7  凭据复用 → SSH密钥获得第二台主机的root
Step 8  深度渗透 → SSH端口转发 + CVE-2024-38816路径遍历
Step 9  失败     → 未能获取ActiveMQ凭据,攻击中断

跨越3个网段、使用反向隧道和SSH端口转发、识别并绕过PHP安全限制——展示出了接近有经验渗透测试者的自适应工具链构建能力

工具使用模式:GPT-5.5的独特优势

行为分析揭示:GPT-5.5是唯一显著使用ffuf(专业Web模糊测试工具)进行端点发现的Agent。其他Agent大多依赖curl直接探测。这相当于”自动扫描器” vs “手动敲URL”的区别——Agent原生框架的工具体系,可能比底层模型本身对攻击能力的影响更大

ComfyUI 0-day:AI自主发现真实漏洞

额外发现:GPT-5.5在ComfyUI(GitHub 115K+ Stars的AI工作流引擎)中发现了一个此前未知的任意文件写入0-day——攻击者可控的工作流可将文件写入预期输出目录之外。这证明了前沿AI不仅会利用已知漏洞,还具备发现全新安全问题的能力

关键限制

  • 漏洞深度壁垒:边缘端点(深度2)检测率约35%,深层端点(深度6)骤降至11%

  • 隐身短板:Agent反复触发蜜罐、留下大量告警日志,缺乏OPSEC意识

  • 情报增益效应:告知漏洞位置后成功率翻倍(16% → 33%),暗示现实APT场景中侦察能力的价值


三、AISI UK:能力进化速度的量化

英国AI安全研究所构建了两个高保真靶场:”The Last Ones”(TLO,32步企业网络攻击,人类需14小时)和”Cooling Tower”(7步工控系统攻击),追踪了18个月内7个模型的能力进化:

模型(发布时间) TLO平均完成步骤
GPT-4o(2024.8) 1.7
GPT-5(2025.8) ~5
Claude Opus 4.5(2025底) 11.0
Claude Opus 4.6(2026.2) 9.8
Claude Mythos(2026.4) 完整解决

核心发现:前沿AI的自主网络攻击能力正以每4个月翻一番的速度进化(从2025年底的每7个月加速而来)。且模型性能与推理时计算量呈log-linear关系——给更多token预算可以持续提升攻击能力,未见平台效应。

AISI明确指出:”网络攻击能力正作为通用自主性和编码能力提升的副产物而出现。”


四、三个事件共同指向的趋势

三条主线交织在一起,揭示了一个清晰的范式转换:

1. “AI vs AI”是唯一可规模化的安全路径

逻辑链:模型能力指数增长 → Agent应用场景扩大 → 攻击面膨胀 → 人类专家跟不上 → 安全测评必须AI化 → 形成”更强模型→更强AI红队→更好对抗数据→更强防御”的正向飞轮。

2. 攻防进化速度的不对称

GPT-RED使GPT-5.6失败率降6倍(防御侧),而AISI显示攻击能力每4个月翻番(攻击侧)。AgentCyberRange也验证了类似不对称:GPT-5.5一旦获得情报,攻击效能翻倍——而情报收集正是AI的强项。

3. 安全能力成为AI竞争的新维度

GPT-RED证明攻击能力可训练并转化为防御;AgentCyberRange提供了标准化测量;AISI量化了进化速度。三者共同预示:“多难被攻破”可能很快成为模型竞争力的核心指标

4. 评估范式从CTF到真实靶场

三个事件分别代表了新范式的三个支柱:GPT-RED(训练端)、AgentCyberRange(评估端)、AISI(监测端),共同定义了”用AI构建、测量和预警AI安全”的新体系。


五、需要正视的隐忧

  1. 提示注入是架构性问题:LLM将系统指令、用户输入、外部内容作为同一Token流处理,没有内置信任边界。GPT-RED在提高门槛,而非消除攻击面。CrowdStrike 2026年报告已记录90+组织遭受提示注入攻击,针对Microsoft 365 Copilot的零点击漏洞(CVE-2025-32711,CVSS 9.3)仅需一封邮件即可窃取内部文件。

  2. 安全能力可复制性:GPT-RED需要”前沿实验室级别”计算资源,普通团队无法负担。AgentCyberRange的开源是对这一鸿沟的平衡,但评估标准 ≠ 安全能力。

  3. “没有防御者” vs “有防御者”:AISI和AgentCyberRange的靶场虽有基础防御,但都缺少活跃防御者。AI攻击者的隐身和OPSEC仍是重大短板——但能力翻倍曲线本身就是最好的警示。


六、结语

用一个类比重述这三件事的意义:

GPT-RED证明了”AI vs AI”的安全范式可行;AgentCyberRange提供了衡量这个范式的标尺;AISI用数据告诉我们:留给建立这套体系的时间,可能比预期更短。

网络安全有句老话:”攻击者只需要成功一次,防御者需要每一次都成功。”

在AI时代,这句话需要改写:“攻击AI只需要一个漏洞。防御AI需要AI来帮助实现每一次都成功。”

这是AI安全的飞轮时刻——飞轮已经开始转动,真正的挑战是让它转得足够快。


参考

  • OpenAI. GPT-Red: Unlocking Self-Improvement for Robustness. 2026.

  • Liu, F. et al. AgentCyberRange: Benchmarking Frontier AI Systems in Realistic Cyber Ranges. arXiv:2606.14295. 2026.

  • AISI UK. Measuring AI Agents’ Progress on Multi-Step Cyber Attack Scenarios. 2026.

  • AISI UK. Our evaluation of GPT-5.5 & Claude Mythos Preview cyber capabilities. 2026.

  • CrowdStrike. 2026 Global Threat Report.

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/315811

安全KER - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66