如今,大模型编写代码早已不是新鲜技能。但给大模型一份真实APK安装包、一套完整移动应用场景,再加上有限的预算约束,它们能否像专业安全研究员一样,自主研判系统、精准挖掘漏洞并完成渗透攻击?
为探明这一问题,安全研究员Kasra Rahjerdi开展了一场极具参考价值的“烧钱”实测实验。他搭建了带有真实漏洞的移动端应用环境,邀请GPT、Claude、Gemini、DeepSeek、Qwen、Kimi等十余款主流大模型参与自主漏洞挖掘与攻防测试。
这场累计投入超1500美元的实测实验,揭开了各大模型真实的安全攻防能力差距:GPT-5.5以70%的成功率断层领跑,而多款热门模型屡屡陷入错误攻坚思路,始终无法触及核心漏洞入口,攻防表现参差不齐。
【OpenAI】获取OpenAI API Key的多种方式全攻略:从入门到精通,再到详解教程!
专属AI的漏洞靶场:公平可控的实测实验环境
为最大程度还原真实渗透测试场景、保证实验公平性,Kasra量身搭建了一套完整且标准化的测试环境。本次实验基于Expo搭建了一款名为BookNook的React Native读书社区应用,并配套开发了专属Python后端服务。
从表层功能来看,BookNook是一款常规的社区应用,包含书籍推荐、读者排行榜、用户书评展示等基础模块,无任何异常特征。但研究员在系统底层预埋了现实场景中高频出现的安全漏洞,为大模型攻防测试提供了真实突破口。
本次测试对所有参测模型完全公平,所有模型获取的初始资源一致,仅包含APK安装包+官方挑战说明文档,统一核心测试目标:找到指定用户的私有书评,获取隐藏Flag,等同于一次标准化的移动端应用渗透测试任务。
同时,实验设置了统一的运行规则,彻底规避变量干扰:
- 开启模型最高推理模式
- Temperature参数统一固定为0.7
- 单次运行预算上限10美元
- 单次测试最长时长2小时
- 单模型最大测试次数10次
受累计成本上涨影响,部分模型未能完成全部10轮测试。此外,本次实验已获得OpenAI安全研究授权,GPT系列模型不会因涉及漏洞分析、渗透测试相关操作触发安全拦截,保障了测试结果的完整性。
1500美元攻防实测:各大模型能力差距显著
在完成全部10轮标准化测试的模型中,GPT-5.5凭借绝对优势登顶,漏洞攻击成功率高达70%,成为本次实测的最优模型。
本次实验的核心漏洞突破口并非常规的客户端代码漏洞,也非后端API接口漏洞,而是应用关联的Firebase服务。GPT-5.5的核心优势十分突出:解压APK文件后,它能快速锁定Firebase核心攻击面,围绕该关键点开展精准攻坚,不会盲目消耗算力在无效环节。
反观多数失败的参测模型,普遍陷入统一误区:将绝大部分算力与时间耗费在客户端代码解析、后端API接口遍历上,从攻坚初期就偏离了正确方向,最终无法找到漏洞核心。
DeepSeek、Claude:有攻坚能力,但稳定性不足
DeepSeek V4 Pro综合表现位列第二,整体成功率为30%,虽不及GPT-5.5,但具备极强的成本优势。其单次测试平均成本仅0.19美元,远低于GPT-5.5单次6.62美元的开销,性价比优势显著。
不过该模型存在明显的路径依赖缺陷:10轮测试中,有5轮完全忽略核心突破口Firebase;剩余5轮虽成功定位目标服务,但其中2轮选择通过API间接利用认证漏洞,而非直接攻坚核心漏洞,大幅降低了成功率。
Claude系列的Sonnet、Opus模型则受制于安全机制。多轮测试记录显示,Claude多次推进至攻坚关键阶段,距离成功获取Flag仅一步之遥,却因触发模型自身安全护栏机制、超出预算限制被强制终止任务,整体表现“差临门一脚”。
Gemini:安全策略过度限制,未进入有效测试阶段
Gemini系列模型的表现极具特殊性。其中Gemini 3.1 Pro Preview在测试初期就直接拒绝执行全部攻防任务,从Token消耗数据可直观印证:该模型单次测试仅消耗约9000 Token,而其他参测模型的Token消耗普遍在10万至40万区间,相当于完全未开展漏洞分析工作。
升级后的Gemini 3.5 Flash略有改善,少数测试可正常进入源码解析、漏洞排查阶段,但每次临近核心突破步骤时,都会触发安全拦截机制终止任务,与Claude Opus的困境相似,最终无有效成功案例。
多款模型未完成全量测试,表现出人意料
受高额测试成本影响,部分模型未完成10轮全量测试,其中Qwen 3.7 Max的表现最令人意外。在正式评测前的预测试阶段,它是除GPT系列外,唯一成功完成完整攻防挑战的模型,曾被研究员寄予厚望。
但正式测试中,Qwen 3.7 Max未能复现优秀表现,攻坚思路极度固化,全程聚焦API接口的IDOR(不安全直接对象引用)漏洞,反复尝试无效路径。不仅成功率惨淡,资源消耗更是居高不下,单次测试平均消耗超730万Token,成为本次实验最“烧钱”的模型之一。
而Kimi K2.6的单次测试表现亮眼,仅参与1轮测试便成功完成攻防挑战,运算速度、资源消耗水平与DeepSeek V4 Pro接近。但受限于API并发调用限制,研究员未能扩大测试样本,无法统计其稳定成功率。
趣味核心发现:中外大模型安全对齐策略差异明显
本次实验除了量化的成功率、成本数据外,还暴露了中外大模型在安全对齐训练上的核心差异。
测试中观察到,多数海外模型在攻坚过程中,若识别出操作可能触及真实数据库、存在影响业务数据的风险,会主动终止攻击路径,优先规避潜在安全风险,趋于保守稳健。
而国产大模型普遍不存在这类顾虑,在发现数据库层面的漏洞利用机会时,会持续主动探索、推进攻坚流程,执行性更强。这一差异并非代表国产模型攻击能力更强,而是直观体现出国内外模型在训练逻辑、安全对齐规则上的不同取向。
行业趋势:AI自动化安全研究员时代即将到来?
Kasra坦言,这场实验并非严格的科学测评,更多是一场探索性测试,但它揭示了AI安全领域的关键发展趋势。
当下的大模型,早已突破单纯的代码生成、Bug修复、文案创作能力边界,已经具备自主解析系统架构、全面排查攻击面、主动挖掘潜在漏洞的实战能力。其中GPT-5.5的整体攻坚流程、漏洞研判思路,已经达到初级人工安全研究员的工作水准。
当然,现阶段AI距离成熟的自动化渗透测试专家仍有较大差距,存在路径固化、安全拦截、稳定性不足等诸多问题。但随着Agent智能体能力、工具调用精度、长上下文推理技术的持续迭代,AI自动化挖掘漏洞、完成攻防测试,必将成为AIGC最具落地价值的场景之一。
这场耗资1500美元的趣味实验,不是终点,而是AI安全自动化时代的全新起点。
)
