从 Daybreak 与 Mythos 看可信计算 3.0 的必要性

上周，OpenAI 发布 Daybreak，整合了 GPT-5.5-Cyber 与 Codex Security。GPT-5.5-Cyber 可以理解为面向安全场景强化的大模型，重点覆盖代码审计、漏洞挖掘和对抗分析；Codex Security 则更像是面向安全工程实践的编程助手变体。

这是大模型安全能力演进中的一个标志性事件：安全不再只是通用模型的附带功能，而开始被当作一个需要专用模型、专用数据和专用工作流支撑的独立领域。

但 Daybreak 也引出了一个更深层的问题：当 Mythos 这类 AI 攻击模型能够自动化挖掘漏洞、生成利用链、压缩攻击窗口时，仅仅用更强的 AI 做安全检查，能否从根本上改变攻防不平衡？

我的判断是：不能。Daybreak 代表的方向很重要，但它解决的是“检查能力”问题；真正要支撑未来安全体系，还需要另一条腿——可信计算 3.0 提供的系统级信任根。

安全模型的困境：检查再强，仍然是代码检查代码

Daybreak 的路线很清晰：用更强的模型做更细粒度的代码审查，用更大的训练数据覆盖更多漏洞模式，用更快的迭代追赶新的攻击手法。这个思路没有问题，短期内也会产生显著价值。

问题在于，它本质上仍然延续了传统攻防思维：检查。无论是早期的代码审计、静态分析、动态检测，还是今天的大模型辅助安全审查，技术手段在升级，底层逻辑并没有变化——枚举或近似枚举可能的威胁路径，逐项检查，发现异常后再告警。

这条路径有天然天花板。第一，逻辑组合不可穷举。任何一个有实用价值的软件系统，其状态空间、依赖关系和运行分支都复杂到无法完全覆盖。大模型可以学习大量漏洞模式，但攻击者并不需要发明全新的漏洞，只要找到检查模型未覆盖的组合即可。防守方每次多堵一批模式，攻击方只需要找到下一个盲区。

第二，安全风险往往是涌现出来的，而不是孤立存在的。一个模块单独审查可能没有问题，但在跨模块调用、跨产品集成、跨版本演进时，风险会在关系中生长。A 模块的更新可能在 B 模块中产生未曾预料的副作用，兼容层也可能引入新的攻击面。这类风险不一定存在于某一行代码里，而是存在于代码之间、系统之间、版本之间。

第三，攻防不对称没有改变。攻击方只需要找到一个突破口，防守方却必须守住所有可能路径。AI 可以帮助防守方更快发现问题，但 Mythos 这类攻击模型同样可以帮助攻击方更快发现第 N+1 个缺口。模型越强，攻防双方的工具都会变强，结构性不对称并不会自动消失。

Mythos 带来的变化：攻击不再等待补丁周期

Mythos 这类 AI 攻击模型真正改变的，是攻防的时间维度。传统安全体系依赖“发现漏洞—厂商修复—发布补丁—管理员部署”的链条，这个过程可能需要数天、数周甚至更久。而 AI 自动化漏洞挖掘和利用生成，会把攻击准备过程压缩到分钟级甚至秒级。

在这个时间差里，系统处于典型的“漏洞暴露窗口期”。防火墙、杀毒软件、WAF、补丁管理都能发挥作用，但它们大多依赖已知规则、已知特征或已发布修复。面对动态生成、不断变形、可以组合多个弱点形成攻击链的 AI 攻击代码，特征库和补丁流程天然滞后。

因此，未来安全不能只问“漏洞能不能被发现”，还要问“漏洞即使存在，能不能被利用”。这正是可信计算 3.0 的价值所在：它不把防御全部押在修补软件 Bug 上，而是通过硬件信任根、可信度量和主动控制，把攻击链尽可能切断在执行之前、落地之前、扩散之前。

换个角度：检查要内生，控制要外置

中国可信计算 3.0 的核心架构理念，可以概括为两句话：检查要内生，控制要外置。

所谓检查要内生，是指安全检查必须从系统最底层开始内建，而不是在系统运行之后再外挂一套工具。可信链从硬件启动的第一条指令开始，逐级度量、逐级传递信任，直到操作系统、驱动、应用和上层业务代码。这样一来，检查不再只是跑在系统之上的软件，而成为系统自身的一部分。任何试图绕过检查的行为，都要先面对硬件层面的约束。

所谓控制要外置，是指作出判定并执行控制的模块，必须独立于被检查系统。TPCM（可信平台控制模块）就是这样的独立硬件模块：它拥有自己的 CPU、存储和密码引擎，先于主 CPU 上电，并主动对主系统进行度量。度量结果由 TPCM 判定，控制信号也由 TPCM 输出，从而决定主机能否继续执行。

这解决的是“谁来监管监管者”的问题。传统安全工具通常运行在被保护系统内部，一旦主系统被控制，安全工具也可能被绕过、欺骗或关闭。可信计算 3.0 则把关键判定和控制能力放在主系统之外，让被保护对象无法轻易支配保护者。

可以用一个更直观的比喻来理解：传统安全，包括 Daybreak 这类更强的 AI 安全检查，像是在大楼里增加更多、更专业的保安。保安的能力越来越强，但仍然在大楼内部工作，依赖大楼的供电、广播和通道。如果大楼被接管，保安也可能被干扰。可信计算 3.0 则像是在大楼外建立一个独立岗亭，有自己的供电、通信和控制开关。岗亭可以观察大楼，发现异常后直接拉闸，而大楼内部的人再强，也很难反向控制岗亭。

大模型当然有价值。它可以让岗亭的监控算法更聪明，让异常识别更准确，让误报和漏报更少。但大模型不能替代岗亭本身。没有外置、独立、不可轻易绕过的控制点，再强的检查也仍然可能被运行环境反过来影响。

可信计算 3.0 如何对抗 AI 自动化攻击

第一，它让 0-day 不再天然等于“可利用”。Mythos 再强，挖掘出的仍然主要是软件逻辑缺陷。传统思路是尽快修补 Bug；可信计算 3.0 的思路则是：即便 Bug 暂时存在，也要把权限、执行路径和关键资源访问锁在可信策略之内。攻击代码一旦试图执行未授权指令、访问敏感内存、修改关键文件或加载异常模块，TPCM 驱动的可信度量与控制机制就可以阻断其行为。漏洞还在，但攻击链无法顺利跑完。

第二，它可以对抗 AI 攻击的速度优势。可信计算 3.0 采用“计算部件 + 防护部件”的双体系架构，防护部件并行运行，不依赖业务系统自身的正常性，也不与业务逻辑争夺同一套控制权。无论攻击脚本生成得多快、变形得多频繁，最终都必须进入 CPU 执行、访问内存、调用系统资源。可信度量和外置控制正是在这些关键路径上建立硬约束。

第三，它能削弱供应链投毒的落地能力。AI 攻击模型不仅能找漏洞，也可能辅助生成恶意代码并植入供应链。可信启动链从 BIOS、固件开始，逐级验证操作系统、驱动和应用组件的签名与完整性。一旦关键文件被篡改、模块哈希不匹配，系统就可以在启动或加载阶段拒绝执行，避免恶意代码在系统中“落地生根”。

这也是可信计算 3.0 与 AI 安全模型最适合结合的地方：AI 负责提升识别能力，可信计算负责提供不可绕过的信任根和控制通道。前者解决“看得更准”，后者解决“说了算、拦得住”。

两条腿走路：AI 安全能力 + 可信计算底座

Daybreak 代表的是更强的 AI 安全检查能力，可信计算 3.0 代表的是系统架构层面的信任根。二者不是替代关系，而是互补关系。

AI 模型擅长模式识别、异常检测和大规模数据分析，这些能力可以增强可信计算 3.0 的动态可信度量，让 TPCM 驱动的可信软件基不再只依赖固定白名单，而是能够结合实时行为分析，对系统运行状态作出更细致的判断。

可信计算 3.0 提供的则是 AI 模型自身无法提供的东西：硬件级信任根、独立于主系统的控制通道、从启动到运行的度量链，以及可被远程验证的可信证明。AI 模型可以发现风险，却不能凭空证明自己没有被篡改；可信计算提供的正是这个证明基础。

一个具体场景是：AI 模型用于代码安全审计，但模型本身运行在 TPCM 保护的环境中。每次模型启动，TPCM 度量其代码、配置和权重完整性；审计结果由受保护环境签名输出，下游系统通过远程证明验证结果可信；模型发现高危异常后，可以触发 TPCM 的控制信号，而不是仅仅发出软件告警。安全动作也就从“建议你修”升级为“异常状态下它跑不起来”。

当然，可信计算 3.0 不是全部。它仍然面临侧信道攻击、策略配置错误、实现层漏洞等挑战。策略如果配置过宽，攻击者仍可能利用“合法权限”完成异常行为；TPCM 或安全芯片固件自身如果存在漏洞，也同样需要持续审计和更新。因此，可信计算更准确的定位不是万能药，而是底座。没有它，AI 安全检查缺少可信根基；只有它，也不足以覆盖全部运营风险。

结语

Daybreak 是一个重要信号：业界已经意识到，通用 AI 的安全能力不足以应对专业安全场景，安全需要专用模型、专用工具和专用体系。

但如果只是用更强的 AI 做更多代码检查，本质上仍是在同一维度上加料。面对 Mythos 这类 AI 自动化攻击模型，真正需要改变的是安全体系的底层结构：既要让检查更智能，也要让检查本身不可轻易被绕过；既要发现漏洞，也要让漏洞即使存在也难以被利用。

可信计算 3.0 的意义正在于此。它把防御从单纯的软件逻辑层下沉到硬件信任根和系统架构层，以主动免疫的方式约束系统行为。Daybreak 让安全检查更强，可信计算 3.0 让安全检查更可信。两条腿都要有，系统安全才能真正站稳。