OpenAI把去年推出的“GPT-5.5生物漏洞悬赏”改成了长期项目,改名叫OpenAI Bio Bounty Program,专门找能一次性攻破其生物安全测试的“通用越狱”,测试对象从GPT-5.6起持续覆盖后续每一代前沿模型。奖励也从2.5万美元涨到5万美元,GPT-5.5和GPT-5.6同价。看起来是一次简单的“加钱续期”,但真正值得琢磨的是另一件事:这项悬赏此前只在Codex Desktop环境下测试GPT-5.5,不是普通ChatGPT聊天界面。

这个限定条件说明,OpenAI担心的不是用户在对话框里套话,而是模型接上代码执行环境之后,护栏会不会先垮。悬赏从一次性活动升级为常态化机制,本身就是一个信号:生物安全测试不再是发布前临时抱佛脚的公关动作,而是要长期养一批研究者持续来找茬。

五道题、一条prompt、不许被审核拦下

这次悬赏的规则其实很具体:挑战者要在一次全新对话(clean chat)里,用同一条越狱prompt,让模型回答完预设的五道生物安全测试题,而且全程不能触发内容审核。这比“一次性绕过”难得多——它要求这条prompt本身具备可复用性,能在不同问题上反复生效,这正是“通用越狱”比普通越狱更危险的地方:一旦公开或流出,谁都能直接套用。

奖励翻倍这件事本身也透露了一点信息。悬赏金额通常跟着“难度”和“招募压力”走,从2.5万涨到5万,比较合理的解读是:此前这个顶格奖励一直没人真正拿走,OpenAI需要用更高的价格把优秀的红队研究者留住,而不是靠一次性活动碰运气。

赏金翻倍,赛道却更窄 $25,000 原奖励(GPT-5.5试点期) $50,000 新奖励(GPT-5.5/5.6同价) 测试环境仍限定:Codex Desktop(代码执行场景),非通用ChatGPT界面

为什么把活动做成制度

OpenAI在自己的Preparedness Framework里,把生物/化学能力列为最高风险类别之一,灾难性场景的定义接近“CDC A类生物制剂”级别的新型威胁载体。这个背景解释了为什么一个悬赏项目要专门设置常态化机制:这类风险不是模型发布前测一次就能放心的事,而是每一代新模型都得重新过一遍。

时间线也印证了这种“持续运营”的态度。GPT-5.5的悬赏本来定在2026年7月27日测试结束,此后测试范围只剩GPT-5.6,但过去所有申请者不需要重新申请——这是一次平滑过渡,不是推倒重来。唯一没交代清楚的是:如果在过渡期发现了漏洞但还没修复,这段空窗怎么处理,OpenAI没有说明。

从阶段性活动到常态化项目 04-23 开放申请 06-22 申请截止 2026-07-27 GPT-5.5测试结束 之后 只测GPT-5.6起

三家公司,三种透明度

把OpenAI这次的调整放进行业里看,会发现一个分层。Anthropic也设有针对生物类通用越狱的专项悬赏,路数和OpenAI接近,都愿意公开规则和奖励金额。Google DeepMind公开了自己的Frontier Safety Framework和风险等级划分,但到目前为止,没有看到同等力度的、面向生物领域的公开悬赏机制。

  • 提醒.厂商通常只公布规则和奖励金额,不公布具体越狱手法或测试题内容,这是行业惯例,不是OpenAI单独的保守。
悬赏公开,是把风险测试变成产品;框架公开,只是把风险写进文件。

对红队研究者来说,这次调整意味着一个更明确的长期渠道:申请一次,长期有效,奖励也更值。对OpenAI自己而言,悬赏结果会直接影响它在GPT-5.6发布前能不能拿出足够硬的安全背书。至于Anthropic和Google DeepMind会不会跟进涨价或补上专项悬赏,是接下来最值得盯的变量。