OpenAI Daybreak 与 GPT-5.5-Cyber 发布
OpenAI Daybreak 与 GPT-5.5-Cyber 发布
OpenAI 扩展了其 Daybreak 计划,旨在将网络安全瓶颈从漏洞发现转向自动化补丁修复。通过结合全新的 GPT-5.5-Cyber 模型、Codex Security 插件以及“Patch the Planet”开源计划,OpenAI 旨在实现以机器速度发现并修复关键软件缺陷的能力民主化。
GPT-5.5-Cyber:高性能安全建模
GPT-5.5-Cyber 是专为高级、授权的网络安全工作设计的 GPT-5.5 特化版本。与通用模型相比,它的权限更宽松,以减少安全工作流中的不必要拒绝,同时保持高水平的通用智能。
性能基准测试
GPT-5.5-Cyber 在多个关键安全基准测试中展示了最先进的性能:
- CyberGym: 在单模型评估中达到了 85.6%,超过了 GPT-5.5 的 81.8%。
- ExploitGym: 在将已知漏洞转化为可用漏洞利用程序(exploit)方面的成功率达到 39.5%,而 GPT-5.5 为 25.95%。
- SEC-bench Pro: 在长周期漏洞发现和概念验证(PoC)生成方面达到了 69.8%,而 GPT-5.5 为 63.1%。
访问权限与治理
GPT-5.5-Cyber 的访问权限通过限量发布的方式仅限于“受信任的防御者”(trusted defenders)。这种受限访问与更强的验证、监控和范围控制相结合。对于大多数防御性工作流,OpenAI 建议使用带有“Trusted Access for Cyber”功能的 GPT-5.5。
Codex Security:自动化修复循环
Codex Security 旨在将安全工程师的能力直接集成到开发者的工作流中。该工具不仅仅是向开发者发出问题警报,而是管理完整的修复循环:识别漏洞、确定可达性、收集验证证据,并生成针对性的补丁。
关键能力与指标
自 3 月份的研究预览版以来,Codex Security 已扫描了 30,000 个代码库中的超过 3,000 万次提交(commits)。人工审核员已将超过 70,000 个发现标记为已修复,并且有超过 500,000 个发现被自动判定为已修复。
更新后的 Codex Security 插件现在支持:
- 深度扫描 (Deep Scans): 能够对整个代码库、特定子集或单个提交进行扫描。
- 分拣与验证 (Triage and Validation): 处理来自漏洞赏金报告、公告或其它扫描器的现有发现。
- 集成 (Integration): 通过 SARIF 文件、CodeQL 查询进行结果导出,并与 Codex CLI 集成。
Patch the Planet:保障开源安全
Patch the Planet 是一个与 Trail of Bits、HackerOne 和 Calif 共同发起的协作计划,旨在支持开源维护者。由于许多关键项目由小型团队管理,该计划提供配备了 Codex Security 的专家级安全研究人员,在漏洞到达维护者之前,协助处理验证和去重漏洞的端到端流程。
已有超过 30 个开源项目承诺参与,包括:
- cURL
- Go
- Python
- Sigstore
- pyca/cryptography
生态系统与政府协作
OpenAI 正在实施 Daybreak Cyber Partner Program,允许领先的安全软件提供商(如 CrowdStrike、Palo Alto Networks 和 Zscaler)将其产品中集成的 GPT-5.5 (with Trusted Access for Cyber) 功能进行整合。
此外,OpenAI 正在与美国政府(包括 CAISI、ONCD 和 OSTP)以及澳大利亚、加拿大、法国、德国、日本、韩国和欧盟机构(如 ENISA)的国际合作伙伴进行协作,以保护关键基础设施并确保这些能力的部署符合行业标准和行政命令。
社区观点与批评
技术用户之间的讨论突显了这些工具的能力与其可访问性之间的紧张关系。
访问限制
许多用户对“受信任的防御者”这一要求表示不满,认为付费客户应该有权访问最先进的安全模型来保护他们自己的软件。 一位用户指出:
"I find it somewhat unfair that I pay money to Anthropic, and I pay money to OpenAI, and neither of them will let me use their best models for securing the software I work on."
对“受信任”身份的质疑
一些批评者认为“受信任的防御者”这一术语具有限制性或带有政治动机,暗示对 SOTA 安全模型的访问受到美国政府和 OpenAI 的严格控制。
实际效能
尽管存在访问权限方面的担忧,但一些用户报告了 Codex Security 插件的积极结果。一位用户分享说,一次扫描发现了一个项目中真实的安全性问题,且误报率极低,尽管他们也提到了一些关于会话限制和恢复机制的稳定性问题。