OpenAI Daybreak 與 GPT-5.5-Cyber 發佈
OpenAI Daybreak 與 GPT-5.5-Cyber 發佈
OpenAI 已擴展其 Daybreak 計畫,旨在將網路安全瓶頸從漏洞發現轉向自動化修補。透過結合全新的 GPT-5.5-Cyber 模型、Codex Security 外掛程式以及「Patch the Planet」開源計畫,OpenAI 旨在實現以機器速度發現並修復關鍵軟體缺陷的能力民主化。
GPT-5.5-Cyber:高效能安全建模
GPT-5.5-Cyber 是專為進階、經授權的網路安全工作設計的 GPT-5.5 特化版本。與通用型模型相比,它的限制較少,能在維持高水準通用智能的同時,減少安全工作流程中不必要的拒絕回應。
效能基準測試
GPT-5.5-Cyber 在多項關鍵安全基準測試中展現了頂尖(state-of-the-art)的效能:
- CyberGym: 在單模型評估中達到 85.6%,超越了 GPT-5.5 的 81.8%。
- ExploitGym: 在將已知漏洞轉化為可用漏洞利用程式(exploits)的成功率達到 39.5%,而 GPT-5.5 為 25.95%。
- SEC-bench Pro: 在長週期漏洞發現與概念驗證(proof-of-concept)生成方面達到 69.8%,而 GPT-5.5 為 63.1%。
存取權限與治理
GPT-5.5-Cyber 的存取權限透過限量發佈的方式,僅限於「受信任的防禦者」(trusted defenders)使用。這種受控存取與更強的驗證、監控及範圍控制相結合。對於大多數防禦性工作流程,OpenAI 建議使用具備「Trusted Access for Cyber」功能的 GPT-5.5。
Codex Security:自動化修復循環
Codex Security 旨在將安全工程師的能力直接整合到開發者的工作流程中。該工具不只是單純向開發者發出問題警報,而是管理完整的修復循環:識別漏洞、判斷可達性(reachability)、收集驗證證據,並生成針對性的修補程式。
關鍵能力與指標
自三月進行研究預覽以來,Codex Security 已掃描了超過 3,000 萬次提交(commits),涵蓋 30,000 個程式碼庫。人工審核人員已將超過 70,000 項發現標記為已修復,且有超過 500,000 項發現被自動判定為已修復。
更新後的 Codex Security 外掛程式現在支援:
- Deep Scans: 能夠對整個程式碼庫、特定子集或個別提交進行掃描。
- Triage and Validation: 處理來自漏洞獎勵計畫(bug-bounty reports)、公告或其它掃描器的現有發現。
- Integration: 透過 SARIF 檔案、CodeQL 查詢以及與 Codex CLI 的整合來匯出結果。
Patch the Planet:保障開源軟體安全
Patch the Planet 是與 Trail of Bits、HackerOne 及 Calif 共同創立的協作計畫,旨在支援開源軟體維護者。由於許多關鍵專案由小型團隊管理,該計畫提供配備 Codex Security 的專家級安全研究人員,在漏洞到達維護者之前,協助處理驗證與去重(deduplicating)漏洞的端到端流程。
超過 30 個開源專案已承諾參與,包括:
- cURL
- Go
- Python
- Sigstore
- pyca/cryptography
生態系統與政府合作
OpenAI 正在實施 Daybreak Cyber Partner Program,允許領先的安全軟體供應商(例如 CrowdStrike、Palo Alto Networks 與 Zscaler)將具備「Trusted Access for Cyber」功能的 GPT-5.5 整合至其產品中。
此外,OpenAI 正與美國政府(包括 CAISI、ONCD 與 OSTP)以及澳洲、加拿大、法國、德國、日本、大韓民國與歐盟機構(如 ENISA)的國際夥伴合作,以保護關鍵基礎設施,並確保這些能力的部署符合產業標準與行政命令。
社群觀點與評論
技術用戶之間的討論凸顯了這些工具的能力與其存取權限之間的緊張關係。
存取限制
許多用戶對「受信任的防禦者」這一要求表示沮喪,認為付費客戶應該有權存取最頂尖的安全模型,以保護他們自己的軟體。 一位用戶指出:
"I find it somewhat unfair that I pay money to Anthropic, and I pay money to OpenAI, and neither of them will let me use their best models for securing the software I work on."
「受信任」身分的疑慮
部分評論家認為「受信任的防禦者」這一術語具有限制性或帶於政治動機,暗示對頂尖安全模型的存取權限正受到美國政府與 OpenAI 的嚴格控制。
實際效能
儘管存在存取疑慮,部分用戶回報了 Codex Security 外掛程式的正面結果。一位用戶分享說,掃描發現了其專案中一個真實的安全問題,且誤報率極低,儘管他們提到了一些關於工作階段限制與恢復機制(resume mechanism)的穩定性問題。