AI自动发现修补漏洞，软件安全进入机器速度时代

OpenAI 发布 Daybreak 计划，目标是把修补速度提升到“机器级别”。该计划已应用于发现并生成针对主要浏览器、网络基础设施、FreeBSD 和 Linux 内核等关键漏洞的补丁。早期工作中，GPT‑5.5 和 Codex Security 已帮助防御者在 Firefox、V8、Safari、OpenBSD、FreeBSD 以及 HTTP/2 实现中发现并验证漏洞。

OpenAI 联合 Trail of Bits、HackerOne 等发起 Patch the Planet 计划，帮助广泛使用的开源项目从漏洞发现走向修复。超过 30 个开源项目已承诺参与，包括 cURL、Go、Python、Sigstore 和 pyca/cryptography。初始五天冲刺发现了数百个待审查问题，合并了数十个补丁，并构建了可复用的模糊测试、变体分析和差异测试工作流。这些项目的漏洞修补速度都会因此加快。

对于企业开发者，OpenAI 更新了 Codex Security 插件。自 3 月预览以来，该插件已扫描超过 3000 万次提交，覆盖 3 万多个代码库；人工标记超过 7 万项发现已修复，自动确定超过 50 万项已修复。更新后的插件能执行深度扫描、生成报告、追踪攻击路径、构建威胁模型、验证发现，并生成针对特定代码库的补丁。开发者不需要等待安全团队，AI 就像身边的安全专家实时检查代码。至于 Codex Security 是否支持私有代码库、数据如何保护，OpenAI 没有详细说明。

OpenAI 发布 GPT‑5.5‑Cyber 完整版，称其为最强的网络安全模型，同时保留了通用智能和长任务处理能力。在 CyberGym 基准上得分为 85.6%（GPT‑5.5 为 81.8%），在 ExploitGym 上得分 39.5%（对比 25.95%），在 SEC‑bench Pro 上得分 69.8%（对比 63.1%）。该模型仅通过有限发布给受信任的防御者。OpenAI 与美国国家标准与创新中心（CAISI）、国家网络总监办公室（ONCD）和科技政策办公室（OSTP）保持对话，包括对 GPT‑5.5 和 5.5‑Cyber 的部署前测试。

OpenAI 启动 Daybreak Cyber Partner Program，允许安全合作伙伴在其产品和服务中使用 GPT‑5.5 with Trusted Access for Cyber。过去一个月已与澳大利亚、加拿大、法国、德国、日本、韩国和欧盟机构（ENISA）建立合作关系。OpenAI 还计划直接与关键基础设施运营商（包括政府网络）合作，开发针对其系统的安全措施。