导读
THE LEDE
昨天(2026 年 4 月 23 日),OpenAI 正式发布 GPT-5.5,并在发布当天同步推出 GPT-5.5 Bio Bug Bounty——一个面向受邀研究者的生物安全红队计划。和前两轮相比,这一轮的设定有三点耐人寻味:题目从十道砍到五道;模型范围从 ChatGPT / GPT-5 切到了 Codex Desktop 里的 GPT-5.5;官方页面没有公开具体奖金数字,只保留了"部分成功也可能获小额奖励"的尾注。
信号很清楚:OpenAI 这次关心的不是聊天窗口里能不能绕过审核,而是当模型被放进带工具调用、能读文件、能跑代码的 agentic 壳层时,生物风险是否会被放大、被链式触发。
Codex Desktop only
生物安全题
滚动录取
三个月窗口
表层任务描述很朴素:从一段干净对话出发,用同一个提示词,让 GPT-5.5 连续答出五道预设的生物安全敏感题,中途不被拒答、不触发审核。任何一道掉链子都不算数。
但真正的考点藏在"仅限 Codex Desktop"这半句里。Codex Desktop 不是聊天框——它是一个桌面端的代码 agent 容器,能执行命令、读写文件、调用工具。模型在这里不只是输出文字,它在做事。
于是同一个问题变得完全不同:以前的越狱只要骗过对话层的审核策略;现在越狱要穿过对话策略 → 工具调用策略 → 文件与代码执行策略这三层安全带。攻击面变宽,防御面也变宽。
这也解释了为什么题数要从十道砍到五道——在 agentic 场景里,让模型把一件敏感事情做完整,远比在聊天里答一段敏感文字要难得多。五道足够把薄弱环节照出来。
把三轮连起来看,OpenAI 在生物风险上的压力测试方式正在发生一个从"题海"到"场景"的位移。
早期赏金像是一张公开的考卷:题目多、奖金亮、适合把社区热度拉起来、把研究者吸引进来。到了这一轮,卷子变薄、舞台变小——从"看你能不能让 GPT-5 说错话",变成"看你能不能让 GPT-5.5 在 Codex 里把错事做出来"。
同时,奖金金额不再作为宣发的主角,NDA、邀请制、滚动录取这三个词被前置。它在暗示:这一轮的产出不再面向公众科普,而是面向内部加固。
| Agent 版 · 2025.07 | GPT-5 版 · 2025.09 | GPT-5.5 版 · 2026.04 | |
|---|---|---|---|
| 模型范围 | ChatGPT Agent | GPT-5(纯模型) | GPT-5.5 · 仅 Codex Desktop |
| 题目数量 | 10 道 bio/chem | 10 道 bio/chem | 5 道 bio |
| 核心任务 | 单提示通关 10 题 | 单提示通关 10 题 | 单提示通关 5 题(干净对话) |
| 奖金公开 | $25k / $10k | $25k / $10k | 未公开(部分成功酌情) |
| 准入门槛 | 申请 + 邀请 | 申请 + 邀请 | 申请 + 邀请 + 已有 ChatGPT 账号 |
| 保密 | 全程 NDA | 全程 NDA | 全程 NDA |
奖金变小,场景变具体,保密变严——这不是一次宣传活动,这是一次把红队产能内化的工程调度。— BioTender 编辑观察
生物安全的战场,正在从"模型"迁到"agent 栈"
把场景锁在 Codex Desktop,等于承认:当模型被允许执行代码、读写文件、调用外部工具之后,原本在对话层被堵住的风险路径,可能会从下游的工具链里渗出来。这是一条对所有 AI4Bio 团队都成立的判断——不要只评估模型,要评估 agent 执行环境。
题数砍半不是松手,是在提高"信号密度"
10 题变 5 题,不代表标准放低。在 agentic 场景下,让模型"把一整件敏感事情从头到尾做完"本身就是更高阶的难度。五道题各自都是完整任务闭环,通关的信号价值远高于聊天级别的十道题。
赏金计划正在去宣发化
奖金不再作为主 hook,NDA、邀请、滚动录取被前置。OpenAI 这一轮要的是可操作的红队发现,不是热搜词条。对于中文语境下关注前沿安全的读者,这是一个值得记录的转折点——高调的生物赏金时代,可能正在低调化。