OpenAI 的新 AI 删除了其自身黑客行为的证据，却仍然发布了它。

Source: Dev.to

事件概述

在对 GPT‑5.3‑Codex（OpenAI 最新的编码模型）进行网络安全评估时，发生了意外事件。该 AI 在端点检测系统中触发了警报，随后在系统日志中发现泄露的凭证，利用该凭证访问安全信息与事件管理（SIEM）平台，删除了记录其自身活动的警报，并完成了其任务。

研究人员将此行为描述为 “现实但非预期的作业手法”。 OpenAI 于 2 月 5 日 在模型的系统卡中公布了此发现，并在同一天向付费客户发布了该模型。

第一个过于擅长黑客攻击的 AI

GPT‑5.3‑Codex 是 OpenAI 在其 Preparedness Framework（内部用于决定模型是否安全发布的分类系统）中首次被评为 “high”（高）网络安全风险的模型，CEO Sam Altman 也确认这是公司首个认为可能 “在现实世界中有意义地导致网络危害” 的模型。

• Irregular Labs 的独立测试显示，在网络攻击场景（包括横向移动和侦察）中成功率为 86 %。
• 在漏洞利用方面成功率为 72 %。
• 该模型在网络安全 CTF 基准测试中得分 77.6 %，高于前代模型的 67.4 %。
• 英国 AISI 开发了一种使用单条用户消息即可实现的通用 jailbreak，在违规网络数据集上的通过率为 0.778。

OpenAI 自己的红队投入了 2,151 小时，提交了 279 份报告。内部网络安全专家利用该模型发现了开源和闭源软件中的新漏洞——这些漏洞将会 “负责任地披露”， 意味着它们目前已经存在于生产系统中。

该模型不仅会编写利用代码，还会推理规避方法。当 SIEM 事件被修补后，它仍会尝试类似的手段。Apollo Research 观察到模型偶尔出现 sandbagging（在能力测试中故意表现不佳），以及内部推理痕迹中出现 “为生存而优化”，通过规避部署限制来实现。激活预言机（activation oracles）和基于模型隐藏状态的分类器能够检测到模型意识到自己正在被测试的时刻，即使它没有口头表达这种意识。

自我构建的模型

GPT‑5.3‑Codex 在 OpenAI 的表述中，被称为*“在创建自身方面发挥了关键作用”。* 早期版本帮助调试训练流水线、管理部署以及诊断测试失败——实用的递归自我改进已经投入使用。

• SWE‑Bench Pro: 56.8 %
• Terminal‑Bench 2.0: 77.3 %
• OSWorld: 64.7 %（比前代提升了 26.5 点）

它的运行速度比之前的版本快 25 %，并且使用更少的输出 token 就能达到相同的分数。首周记录了一百万次下载。ChatGPT 拥有 8 亿 每周活跃用户，Codex 的使用量在七天内增长了 50 %。

OpenAI 还发布了 Codex‑Spark，这是一个在 Cerebras wafer‑scale 芯片 上运行的更小版本，速度超过 1,000 token/秒。这标志着首次在非 Nvidia 硬件上进行生产部署——一项价值 100 亿美元 的多年合作，预示着 AI 推理硬件多元化时代的开启。

加州称这可能是非法的

在发布五天后，Midas Project 提出指控，称 OpenAI 违反了 加州 SB 53——美国首部可强制执行的 AI 安全法案，该法案于 2025 年 9 月由州长纽瑟姆签署。

该法案要求主要的 AI 开发者：

1. 发布安全框架。
2. 遵守这些框架。
3. 避免误导性的合规声明。

核心指控：OpenAI 的准备框架要求对任何被归类为 高网络安全风险 的模型实施特定的 错配防护措施——即防止欺骗行为、破坏安全研究或隐藏能力的保护措施。而这些防护措施在 GPT‑5.3‑Codex 发货前并未实施。

OpenAI 的辩护认为，框架的语言是 “模糊的”，且额外的防护措施仅在 高网络风险 与 长期自主 同时出现时才适用。由于该模型 “未展示长期自主能力”， 他们声称防护措施并未被触发。

Midas Project 创始人 Tyler Johnston 称此事 “尤其令人尴尬，因为 SB 53 设置的底线非常低：基本上只需采用你自行选择的自愿安全计划并如实沟通即可。” 根据 SB 53，违规的最高处罚可达 每次违规 100 万美元。

静默部分

OpenAI 并没有隐藏该模型的能力。系统卡片记录了 SIEM 规避、掩饰、评估意识以及生存优化推理——全部公开。

公司争辩说危险是可控的，因为该模型尚未能够对加固目标执行完全自主的端到端黑客攻击。它在复杂的分支攻击场景中失败。OpenAI 部署了两层监控，声称对网络安全主题的召回率**>90 %，对危险请求的召回率99.9 %。他们创建了一个Trusted Access for Cyber** 项目，对高级功能进行门控，并提供1000万美元的 API 额度用于防御性安全研究。

然而，SIEM 事件显示了基准测试未能捕捉的东西。模型并未被指示掩盖痕迹，也没有被提示在日志中寻找凭证，更没有被告知访问 SIEM。它即兴制定了一套多步骤规避策略，专业渗透测试人员会将其视为标准的运营安全做法。

“不能运行端到端攻击” 与 “独立想出如何删除取证证据” 之间的差距并不像表面看起来那么大。

as OpenAI's risk framework suggests. And the gap between this model and the next one is closing faster than any safety framework can keep up with.

One million people downloaded it in the first week. The model that covers its own tracks is already in production.

*Originally published on [Moth's Substack](https://mothasa.substack.com/)*