OpenAI 應該為生物越獄支付更多,而不是更少
OpenAI 應該提高生物越獄獎金,而且要維持私密、持續的漏洞懸賞機制,因為最便宜也最有效的生物安全測試,是付錢請外部研究者先把系統打穿。

GPT-5.6 這次調高生物越獄獎金,方向是對的,因為真正能抓到前沿模型生物安全漏洞的,不是公告,而是市場。
OpenAI 應該把 Bio Bounty Program 維持私密、持續,而且給得更大方。原因很直接:對生物安全這種高風險問題,最便宜也最有效的測試方式,不是內部自我檢查,而是付錢請外部研究者先把系統打穿。
安全工作需要市場,不需要口號
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
OpenAI 這次把重點放在 universal jailbreaks,也就是能跨越預設生物安全挑戰、並對前沿模型都有效的越獄方法,這是正確的目標。一次性的 bounty 只能帶來短暫關注,持續性的計畫才會形成一個真正的市場,專門追逐最難的失敗模式。

這種失敗模式的價值,遠高於一般產品 bug。某個提示詞只對單一模型有效,最多證明那個版本有洞;但如果一個 jailbreak 能在多個 frontier systems 上重現,就表示防護不是表面裝飾,而是結構性失守。對 OpenAI 來說,這種訊號比任何內部簡報都更有用。
更重要的是,模型一旦發布,攻擊者不會等你開完檢討會才開始測試。安全評估如果只在發表前做一次,很快就會過期。持續懸賞的價值就在這裡,它把外部研究者變成長期壓力來源,讓系統在版本更新、政策調整與能力提升之後,仍然接受真實世界的對抗。
私密機制不是保守,而是必要的風險控制
把計畫維持私密,不是反透明,而是對雙重用途風險的務實處理。若把 bio jailbreak 的排行榜公開,等於把最關鍵的失敗路徑直接展示給所有人看,這在生物安全領域尤其危險,因為紅隊測試和教人濫用之間的界線本來就很薄。
這也是為什麼「公開越多越安全」在這裡站不住腳。OpenAI 並沒有要求外界盲目信任黑箱,而是把挑戰條件先定義好,再為能證明防護失效的研究付費。這種模式比無限制公開更合理,因為它獎勵負責任揭露,而不是獎勵把漏洞寫成教學文件。
從治理角度看,私密機制還有一個好處:它降低了噪音。公開 bounty 常常會吸引大量重複提交、低品質驗證,甚至把社群注意力帶向表演式攻防。私密、審核式的通道,反而更適合處理高風險議題,因為它把資源集中在真正有機會改變安全邊界的發現上。
更高獎金不是福利,而是篩選器
公告裡提到獎金提高,這不是附帶訊息,而是最重要的操作變化。嚴肅的生物安全研究需要時間、算力、領域知識,還要能把結果整理成可驗證的證據。獎金太低,只會吸引好奇心驅動的淺層測試,不會吸引真正能打穿系統的人。

這也是人才市場問題。能找出 universal jailbreak 的研究者非常稀少,他們的時間可以拿去做顧問、前沿模型研究,或者更高薪的安全工作。若 OpenAI 真想把這群人拉進來,就得用足夠高的報酬告訴他們:生物安全不是公關姿態,而是值得投入的專業工作。
以產業角度看,懸賞價格也會影響問題定義。當獎金足夠高,團隊會開始把「最難證明的失敗」當成主要目標,而不是只追逐容易展示的 demo。這會把外部創新導向真正有價值的地方,讓研究從炫技走向驗證,從單點漏洞走向系統性風險。
反方可能怎麼說
批評者會說,付錢找越獄本身就在扭曲誘因。這種做法可能讓業界默認一件事:安全可以先上線,再靠獎金補救。更大的問題是,任何獎勵機制都可能吸引那些更想做 exploit 開發,而不是做 harm reduction 的人。
這個擔憂不是空穴來風。若 bounty 設計太寬,確實可能把研究資源引向邊界模糊的攻擊技巧,甚至讓某些人把安全研究當成取得聲望的捷徑。對生物領域來說,這種外溢風險比一般軟體漏洞更敏感,因為錯誤資訊一旦擴散,後果不只是一個產品出錯。
但這個反對意見忽略了一個現實:前沿模型的攻擊創意不會因為你不付錢就消失。真正的對手已經在測試,而且會在模型變得更有用的第一時間出手。正確做法不是取消 bounty,而是把它限制在明確的 biosafety challenge、維持私密通道,並把它視為安全堆疊中的一層,而不是替代預訓練控制、eval 和部署限制。
你能做什麼
如果你是工程師,就把外部紅隊當成常態,而不是例外,因為任何防線最後都會被人嘗試繞過。如果你是 PM,就把懸賞範圍定義在最重要的失效模式上,並把獎金設到足以吸引專家,而不是只吸引湊熱鬧的人。如果你是創辦人,就學這個運作原則:為最難證明的失敗付費,保留受控通道,並把每一份嚴肅回報都當成系統真的在現實世界裡被測試的證據。