機器之心編輯部

OpenAI 在網絡安全領域又往前推了一步。

今天，OpenAI 宣布擴展 Daybreak 安全計劃，推出更新版 GPT-5.5-Cyber、Codex Security 插件、Daybreak Cyber Partner Program，以及面向開源生態的 Patch the Planet 計劃等。

其中最受關注的，是 GPT-5.5-Cyber 完整版的發布。OpenAI 稱，更新后的 GPT-5.5-Cyber 在 CyberGym 上取得 85.6% 的成績，高于 GPT-5.5 的 81.8%。這一成績也超過了 Anthropic Mythos 5 的 83.8%。

OpenAI CEO 奧特曼表示，「OpenAI 希望與美國政府和安全生態合作，幫助所有企業提升安全性。GPT-5.5-Cyber 完整版現已發布，并在 CyberGym 上取得當前 SOTA 表現。」

OpenAI 總裁 Greg Brockman 寫到，「通過 OpenAI Daybreak，我們正在用新的工具和模型加速漏洞修補，而不只是加速漏洞發現。OpenAI 的模型現在已經能夠為主流瀏覽器、網絡基礎設施和操作系統中的關鍵漏洞發現并生成補丁，涉及 FreeBSD、Linux 內核等系統；同時也幫助 cURL、Go、Python、Sigstore 等項目推進漏洞修復。」

不過，網友們似乎并不買賬，大家更期待 OpenAI 發布的是 GPT-5.6。

此次的幾大更新包括如下：

• GPT-5.5-Cyber：在最初僅開放預覽版之后，OpenAI 將通過持續的受限發布機制，向可信防守方推出 GPT-5.5-Cyber 的完整版本。該模型在 CyberGym 上取得了新的最佳表現，得分達到 85.6%，高于 GPT-5.5 的 81.8%。
• Codex Security：OpenAI 將發布 Codex Security 插件更新，把其從內部使用和客戶使用模型過程中積累的經驗，整合成一套解決方案，用于加速現有系統中漏洞的發現與修復，并自動阻止新的漏洞進入生產環境。
• Patch the Planet：這是 OpenAI 與 Trail of Bits 共同發起的項目，并與 HackerOne、Calif、研究人員和維護者合作，幫助被廣泛使用的開源項目從發現漏洞走向真正修復。
• Daybreak Cyber Partner Program：OpenAI 將通過這一計劃，讓安全合作伙伴在自己的產品和服務中，以可信訪問方式使用其最強的模型，把這些能力擴展到更多組織。

更新 GPT-5.5-Cyber：能力與更開放的使用邊界并行

OpenAI 正在發布 GPT-5.5-Cyber 的更新版本。這是一個面向高級、授權網絡安全工作的模型，既更具能力，也更少出現不必要拒答。

GPT-5.5-Cyber 的最初預覽版，主要目標是減少專業工作流中的不必要拒絕。這次更新更進一步。它是 OpenAI 迄今在發現并幫助修補軟件漏洞方面最強的模型，同時保留了 GPT-5.5 的通用智能，以及處理長期、復雜任務的能力。

該模型可以在大型代碼庫中持續進行更深入分析：識別與安全相關的組件，追蹤存在漏洞的代碼是否可達，在受控環境中驗證可能的問題，開發并測試補丁，并為人工審查準備證據。目標是幫助防守方走完整個修復閉環，而不只是產生更多漏洞發現。

在 CyberGym 上，更新后的 GPT-5.5-Cyber 在單模型評估中達到 85.6%，高于 GPT-5.5 的 81.8%。CyberGym 衡量的是一個智能體能否在軟件環境中復現已知漏洞。這也是 OpenAI 測得的單模型最高 CyberGym 分數。

GPT-5.5-Cyber 在另外兩個要求很高的真實安全基準上也超過了 GPT-5.5。在 ExploitGym 上，GPT-5.5-Cyber 得分 39.5%，高于 GPT-5.5 的 25.95%。ExploitGym 測試的是智能體能否把已知漏洞轉化為可工作的漏洞利用，并實現未經授權的代碼執行。在 SEC-bench Pro 上，GPT-5.5-Cyber 得分 69.8%，高于 GPT-5.5 的 63.1%。SEC-bench Pro 評估的是復雜軟件目標上的長周期漏洞發現和概念驗證生成能力。

基準測試只是故事的一部分。真正重要的是，在實際場景中，模型能否發現真實漏洞，能否從噪聲中識別出可行動的問題，并幫助防守方安全地完成修復。隨著協調披露工作的結束，OpenAI 會繼續在復雜代碼庫和真實修復工作流中評估該模型的表現。

圍繞 OpenAI 的網絡安全方法，包括今天發布的內容，以及即將發布模型前的準備工作，OpenAI 一直與美國政府保持溝通。這包括繼續與 Center for AI Standards and Innovation，即 CAISI，在 GPT-5.5 和 GPT-5.5-Cyber 的部署前測試方面展開合作；也包括與 Office of the National Cyber Director，即 ONCD，以及 Office of Science and Technology Policy，即 OSTP，就近期行政令和相關行業標準的落地展開合作。

對大多數防守方來說，GPT-5.5 加 Trusted Access for Cyber，再配合 Codex Security，仍然是合適的起點。GPT-5.5-Cyber 面向的是經過驗證的防守方，他們的授權工作需要 OpenAI 最先進的網絡安全能力和更寬松的模型行為，同時也需要更強的驗證、監控、范圍控制和審查機制。在早期 Daybreak 工作中，GPT-5.5 和 Codex Security 已經幫助防守方在多個廣泛使用的系統中識別并驗證漏洞，包括 Firefox、V8、Safari、OpenBSD、FreeBSD 和 HTTP/2 實現。

用 Codex Security 把發現變成修復

自 3 月 Codex Security 云端版以研究預覽形式推出以來，它已經掃描了超過 3000 萬次提交，覆蓋 3 萬多個代碼庫；人工審查者已經手動將 7 萬多個發現標記為已修復，另有超過 50 萬個發現被自動判定為已修復。

這正是今天漏洞修補所需要達到的規模。

OpenAI 構建 Codex Security 時，基于一個簡單前提：通過直接集成到 Codex 中，把相當于一名安全工程師的能力放到每一位軟件開發者身邊。

Codex Security 不只是生成告警。它會理解團隊的代碼及其威脅模型；如果威脅模型不存在，它也可以生成一個；它會識別可能存在的漏洞，判斷受影響代碼是否可達，收集證據并提供驗證步驟，開發有針對性的補丁，并驗證修復結果。人類仍然掌控關鍵決策：調查哪些發現、應用哪些變更、分享哪些信息。

今天，OpenAI 正在發布 Codex Security 插件更新，使其支持開箱即用的防御型安全工作流。開發者可以運行深度掃描，也可以審查近期變更；可以生成包含嚴重程度、受影響代碼位置、驗證證據和修復建議的報告；可以追蹤攻擊路徑，構建威脅模型，驗證發現，并生成面向具體代碼庫的補丁供審查。

用戶可以設置掃描范圍，覆蓋整個代碼庫、代碼庫的一部分，或某個特定變更和提交。

該插件還可以對來自掃描器、安全公告、漏洞賞金報告或工單系統的既有發現進行分級和驗證，然后大規模自動生成補丁，幫助快速清理積壓漏洞。當 Codex Security 完成掃描后，它還可以導出到現有漏洞管理系統，或通過 SARIF 文件、CodeQL 查詢等方式接入其他工具。該插件讓這些能力更容易被使用，既可以配合 Codex CLI 支持自動化流水線，也可以集成進 Codex 應用中的開發者工作流。

Patch the Planet：讓開源修復真正落地

Patch the Planet 是一個幫助維護者從漏洞發現走向真正修復的項目。該項目由 OpenAI 與 Trail of Bits 共同發起，并與 HackerOne 和 Calif 合作。OpenAI 將資助專業安全研究人員，并為他們配備 Codex Security 和高級模型，讓他們直接與開源維護者合作。

開源軟件支撐著各行各業的產品、公共服務、開發者工具和關鍵基礎設施。一個被廣泛使用的網絡庫中的漏洞，可能影響數千個下游系統。然而，許多這類項目由規模很小的團隊維護，時間和資金都非常有限。Linux Foundation 和 Harvard 的研究發現，在其研究的廣泛使用項目中，94% 的項目由不到 10 名開發者負責一年內新增代碼的 90% 以上。

隨著 AI 讓更快發現和修補更多漏洞成為可能，它也給維護者帶來了更多工作。維護者需要從成千上萬份報告中篩選真正有價值的問題，其中很多報告質量很低，甚至是誤報。維護者不應該只得到更多報告，卻沒有更多能力去修復。因此，Patch the Planet 的核心是專家級人工安全審查。

每一次合作都會先從安全研究人員與受幫助維護者之間的溝通開始。維護者會定義自己的優先事項、偏好和既有披露流程。隨后，Patch the Planet 的安全研究人員會端到端管理相關工作，在漏洞和補丁提交給維護者之前，先完成驗證和去重，從而顯著降低維護者負擔，并加快修復速度。

參與項目的開源項目將獲得 ChatGPT Pro、Codex Security 的條件訪問權限，以及用于核心開發、維護者自動化和發布工作流的 API 額度。

首個為期五天、覆蓋多個項目的沖刺工作，已經發現了數百個待審查問題，合并了數十個補丁，并推動更多補丁繼續推進。同時，該項目還構建了可復用的模糊測試、變體分析、差分測試和基于規范的測試工作流。

發現漏洞很重要，但真正保護世界的，是讓修復落地。而這需要協作，也需要社區支持。

與安全生態合作

作為此次擴展的一部分，OpenAI 還將與領先的安全軟件和服務提供商共同推出 OpenAI Daybreak Cyber Partner Program。

通過該計劃，參與合作伙伴可以在其提供給客戶的安全產品和服務中，使用帶有 Trusted Access for Cyber 的 GPT-5.5。這是 OpenAI 面向大多數防御型網絡安全工作流的主力模型。這樣一來，客戶可以受益于模型的防御能力，提升軟件韌性，同時直接模型訪問仍然掌握在參與計劃的合作伙伴手中。

OpenAI 還將與該計劃的合作伙伴協作，繼續強化在安全生態中負責任部署這些能力所需的保障措施、監控機制和防濫用標準。OpenAI 將首先與一批初始合作伙伴推出該計劃，并計劃在未來幾個月繼續擴展到更多組織。

接下來

Daybreak 將模型、Codex Security、Patch the Planet、專家研究人員、維護者、安全合作伙伴、關鍵基礎設施運營方和可信訪問控制整合在一起，幫助人類防守方面對這一挑戰。

公共部門和私營部門組織都可以與 OpenAI Daybreak 合作，識別、驗證并修復它們構建和依賴的軟件中的漏洞。開發者和維護者可以在自己擁有的代碼上運行 Codex Security，審查發現，并推動修復落地。安全合作伙伴和從業者可以使用 OpenAI 的前沿模型，強化自己的防御工具，并把這些能力快速帶給更多組織。

目標是超越「用模型發現更多漏洞」這一階段，走向一個軟件更安全、網絡韌性更強的世界。

https://x.com/OpenAI/status/2069104283824640023

https://openai.com/index/daybreak-securing-the-world/

https://x.com/sama/status/2069121360744550796

https://x.com/gdb/status/2069112120206332130