一把能开整栋楼的万能钥匙,最危险的地方不在锁芯,而在楼下那家复印店。GPT-5.5 Bio Bug Bounty(生物安全漏洞悬赏)这件事,我的判断很直白:AI安全真正的漏洞,不是某个天才一时把模型撬开,而是可复现的通用提示词。
很多人谈AI安全,脑子里装的是银行金库:墙要更厚,门要更重,摄像头要更多,坏人要更少。可模型不是金库,模型更像一个会说话的门卫。门卫偶尔失手,不算世纪灾难;真正麻烦的是,外面开始流传一套人人都能背的套话,换谁来都能把门哄开。
这就是GPT-5.5 Bio Bug Bounty最该盯住的地方。它表面上是在找“模型会不会说错话”,骨子里其实是在找另一件事:危险能不能被格式化,能不能被复制,能不能从一次侥幸,变成一套流程。
传统软件漏洞,怕的是高手。通用提示词,可怕在它把高手批发了。
凌晨一点,广州城中村一张折叠桌上,一个准备赶课程报告的本科生,把群文件里的提示词贴进GPT-5.5。他连术语都还常常写错,可模型在那段模板的牵引下,自动替他搭好追问顺序,补齐专业口吻,连哪里该继续追、哪里该换说法,都像有人在旁边低声指点。危险不在他忽然成了专家,危险在专家的走法被压成了傻瓜按钮。
下午三点,苏州工业园区一间外包办公室,四个标注员盯着共享表格,对同一段提示词反复试。没人真懂生物,也没人需要懂。有人记“换账号是否稳定”,有人记“换中文说法是否还能通”,有人记“隔一天再跑会不会失效”。到了这一步,提示词已经不是灵感,而是工艺参数;不是一句话,而是一条流水线。
周五晚上,一个两百多人的小群里,有人发来一张截图:旧版不行了,第三句改掉,又通了。下面立刻有人接龙:这个版本更稳,那个版本回退了,手机上也能跑。你看见的不是“知识交流”,而是民间补丁库。模型刚补上一扇门,群里已经在分发新钥匙。
模型回答错一次,叫失手;提示词在十个人手里都稳定生效,才叫漏洞。
这事最反常识的地方在于:我们总以为风险来自“模型太强”,其实很多时候,风险来自“使用门槛太低”。强,不一定扩散;低,才会扩散。一个只有原作者自己才能复现的怪招,未必是最大的祸害;一个土得掉渣、像洗衣机说明书一样平平无奇、换个用户也能跑通的模板,才真该让人后背发凉。
因为真正扩散的不是知识,是操作顺序;不是思想,是格式。
生物领域尤其如此。它的门槛,本来就不只是一堆名词。更要命的,是分寸感,是排错顺序,是哪些地方不能碰,是哪一步错了就该停。也就是说,真正昂贵的,不只是“知道”,而是“怎么问、怎么逼近、怎么把零碎信息串成能执行的路线”。一旦这些东西被压缩进一段通用提示词,门槛就不是被跨越,而是被搬走了。
一段能复现的提示词,就是把门槛从能力搬到了复制粘贴。
所以,GPT-5.5 Bio Bug Bounty如果只奖励那些像魔术咒语一样古怪、离开作者本人就失灵的“神奇越狱”,那不过是在收藏标本。真正该高价收购的,是那种朴素、稳定、耐用、低背景用户也能复现的通用模板。因为安全问题从来不怕孤例,怕的是量产;不怕偏门,怕的是标准化。
说穿了,AI安全已经不是单纯的模型问题,而是社会组织问题。危险一旦被写成模板,就会像办公室里的报表格式、短视频的爆款脚本、外卖站的配送路线一样,自己长出传播能力。人不需要理解全貌,只要会照着填空。现代社会最擅长的,从来不是制造天才,而是把少数人的本事拆成多数人的流程。工业革命干过一次,平台经济干过一次,现在轮到提示词了。
AI并不只是会回答问题,它还在替人包装能力;而被包装过的能力,最容易脱手,最容易转发,最容易失控。
我真正警惕的,不是某个别有用心的人深夜里和模型斗法。那种事,自古就有,换工具而已。我警惕的是,第二天早上九点,另一群并不高明、也并不专门的人,已经拿着整理好的模板,在共享文档里迭代版本号,在群聊天里交换截图,在复制粘贴里把高门槛的风险做成低门槛的服务。
AI时代最危险的不是聪明,而是聪明被装订成册。
这也正是为什么我说,AI安全真正的漏洞,是可复现的通用提示词。锁被高手撬开一次,是事故;配钥匙的方法在街头复印流传,才是秩序出了问题。今天真正该防的,不是模型偶尔说错一句话,而是那句错话背后,已经长出了模板、版本、教程和传抄链条。
漏洞不在模型深处,漏洞在复印店里。
别人聊 AI,我们测 AI——每个结论都能下载原始数据自己复算。 🔗 官网 👉 https://crawdpad.com