Daybreak：保护全球每一家组织的工具

# Daybreak：为全球每个组织提供安全保障 来源：https://openai.com/index/daybreak-securing-the-world/ 我们正在扩展Daybreak（https://openai.com/daybreak），以帮助以机器速度普及易受攻击软件的补丁工作。例如，我们已应用我们的模型来发现并生成针对主流浏览器、网络基础设施以及FreeBSD和Linux内核等操作系统中的关键漏洞（https://openai.com/index/patch-the-planet/#operating-systems）的补丁。为了扩大这些能力的影响力： - **Codex Security：** 我们正在推出Codex Security插件（https://openai.com/daybreak/codex-security-plugin/）的更新，该插件将我们从内部和客户使用模型中学到的经验融入一个解决方案，以加速发现和修补现有系统中的漏洞，并自动防止新漏洞进入生产环境。 - **GPT-5.5-Cyber：** 在最初的仅限许可预览之后，我们通过持续有限发布，向受信任的防御者推出GPT-5.5-Cyber的完整版本。该模型在CyberGym上达到了新的最优性能，达到85.6%，而GPT-5.5为81.8%。 - **Daybreak网络安全合作伙伴计划（https://openai.com/daybreak/partners/）：** 使安全合作伙伴能够通过我们最强大的模型，在其产品和服务中以受信任的访问方式，将收益扩展到更多组织。 - **Patch the Planet（https://openai.com/index/patch-the-planet/）：** 这是一项由Trail of Bits联合HackerOne、Calif、研究人员和维护者共同发起的倡议，旨在帮助广泛使用的开源项目从发现问题转向修复问题。- 已有超过30个开源项目承诺参与，初始参与者包括cURL、Go、Python、Sigstore和pyca/cryptography。 - 通过Patch the Planet，我们与研究人员、维护者、企业和合作伙伴共同努力，使强大的网络能力在适当的访问、治理和人类监督下可供防御者使用。请听Clint和Dan在此处的介绍（在新窗口中打开）（https://x.com/OpenAI/status/2069104288417390688?s=20）。 ## 网络防御的转折点 人工智能改变了网络安全的格局。前沿AI模型已日益加速漏洞的发现。历史上的瓶颈在于*发现*漏洞，但现在防御者被大量已发现的漏洞所淹没。相反，现在的瓶颈变成了*修补*漏洞。 多年来，发现严重漏洞需要罕见的专业知识、时间和深入理解复杂系统。而现在，模型可以导航大型代码库、推理攻击路径、验证假设，并揭示原本可能隐藏的安全问题。防御者绝对需要这些能力，同时也需要工具来修复我们现在能够发现的问题，以免被攻击者抢先利用。 漏洞报告本身并不能保护任何人。其价值在于验证问题、了解影响、开发和测试补丁、协调披露以及帮助团队部署修复。我们正在与合作伙伴一起投资改进后续步骤，以加速防御者能力，并将模型能力转化为实际风险降低。 前沿防御能力不应集中在少数人手中。软件触及生活的方方面面，从关键基础设施到商业应用和政府网络。随着AI改变漏洞发现的节奏，各地的防御者都需要民主化地访问这些模型，以便在攻击者能够识别和滥用这些缺陷之前，发现、修复并保护其基础设施。 Daybreak整合了OpenAI模型的前沿网络能力、网络安全可信访问、Codex Security工作流以及生态系统合作伙伴，帮助经批准的防御者在现有安全和开发工作流中验证漏洞、确定风险优先级、生成并测试修复方案，并提供证据。我们的目标是提供组织所需的工具，使其即使在网络威胁形势不断加速的情况下也能保持安全。 ## 从发现问题到修复问题：借助Codex Security 自3月份以研究预览形式推出Codex Security云端服务以来，它已扫描了超过30,000个代码库中的3000万次提交；人工评审员已手动标记超过70,000个发现项为已修复，并且超过500,000个发现项已自动判定为已修复。 这正是修补工作现在必须达到的规模。 三个白色大号统计数据位于桃色到黄色渐变背景上：“已扫描30K个代码库”、“已扫描3000万+次提交”和“已修复50万+个发现项”。 我们构建Codex Security基于一个简单前提：通过直接集成到Codex中，为每一位软件开发人员配备相当于一名安全工程师的能力。Codex Security不仅仅是生成警报，它会理解你团队的代码及其威胁模型（如果不存在则生成一个），识别潜在的漏洞，确定受影响的代码是否可达，收集证据以提供验证步骤，开发有针对性的补丁，并验证结果。人类仍把控着调查哪些发现项、应用哪些更改以及共享哪些信息的决策权。 今天，我们发布了Codex Security插件（https://openai.com/daybreak/codex-security-plugin/）的更新，该插件现成可用，支持防御性安全工作流。开发人员可以运行深度扫描或审查最近的更改，生成包含严重性、受影响的代码位置、验证证据和修复指导的报告，追踪攻击路径，构建威胁模型，验证发现项，并生成针对特定代码库的补丁以供审查。 Codex桌面应用截图，背景为桃色到橙色渐变。主聊天界面显示Codex正准备运行Codex Security扫描，一个“设置安全扫描”面板已打开，用于扫描juice-shop仓库，扫描区域设为整个代码库，当前分支为master，并有一个绿色“开始扫描”按钮。右侧边栏列出了环境详情，包括更改、本地、master分支，以及提交或推送。 设置扫描以覆盖整个代码库、代码库的一个子集，或特定的更改或提交。 该插件（https://openai.com/daybreak/codex-security-plugin/）还可以对来自扫描工具、公告、漏洞赏金报告或工单系统的现有发现项进行分类和验证，然后自动大规模生成补丁，以快速关闭积压的漏洞。当Codex Security完成一次扫描时，它还可以导出到现有的漏洞管理系统，或通过SARIF文件、CodeQL查询等集成到工具中。该插件使这些功能更易于访问，支持使用Codex CLI的自动化管道，或集成到Codex应用中的开发者工作流。 ## 更新GPT-5.5-Cyber：能力与许可性的结合 我们将发布GPT-5.5-Cyber的更新，这是一个在高级授权网络安全工作中既更许可又更强大的模型。 我们最初的GPT-5.5-Cyber预览版主要旨在减少专业工作流中不必要的拒绝。本次更新更进一步。它是我们在发现和帮助修补软件漏洞方面最强的模型，同时保留了GPT-5.5的通用智能以及在长而复杂的任务中工作的能力。 该模型能够在大规模代码库中进行更深入的分析：识别与安全相关的组件，追踪易受攻击的代码是否可达，在受控环境中验证可能的问题，开发和测试补丁，并为人工审查准备证据。目标是帮助防御者完成完整的修复循环——而不仅仅是产生更多的发现项。 在CyberGym上（衡量代理是否能在软件环境中复现已知漏洞），更新后的GPT-5.5-Cyber在单模型评估中达到85.6%，而GPT-5.5为81.8%。这是我们单模型测量的最高CyberGym分数。 GPT-5.5-Cyber在两个要求苛刻的真实世界安全基准测试中也优于GPT-5.5：在ExploitGym上为39.5%对比25.95%，该测试考察代理能否将已知漏洞转化为有效的漏洞利用，从而实现未经授权的代码执行；在SEC-bench Pro上（评估跨复杂软件目标的长周期漏洞发现和概念验证生成），GPT-5.5-Cyber达到69.8%，而GPT-5.5为63.1%。 基准测试只是故事的一部分。实际重要的是模型能否发现真实漏洞，将可操作的发现项与噪音区分开来，并帮助防御者安全地落地修复。随着协调披露的结束，我们将继续评估模型在复杂仓库和真实修复工作流上的表现。 我们一直在与美国政府就我们的网络安全方法进行持续对话，包括今天的公告以及我们对即将发布模型的准备。这包括与人工智能标准与创新中心（CAISI）就GPT-5.5和5.5-Cyber的部署前测试持续合作，以及与国家网络总监办公室（ONCD）和科学技术政策办公室（OSTP）合作，落实最近的行政命令（在新窗口中打开）（https://www.whitehouse.gov/presidential-actions/2026/06/promoting-advanced-artificial-intelligence-innovation-and-security/）及相关行业标准。 对于大多数防御者来说，具有网络安全可信访问和Codex Security的GPT-5.5仍然是正确的起点。GPT-5.5-Cyber专为经过验证的防御者设计，其授权工作需要使用我们最先进的网络能力和更许可的行为，并配合更强的验证、监控、范围控制和审查。在早期的Daybreak工作中，GPT-5.5和Codex Security已帮助防御者识别和验证广泛使用的系统中的漏洞，包括Firefox、V8、Safari、OpenBSD、FreeBSD和HTTP/2实现（https://openai.com/index/patch-the-planet/#operating-systems）。 ## 与安全生态系统合作 作为此次扩展的一部分，我们还将与领先的安全软件和服务提供商共同推出OpenAI Daybreak网络安全合作伙伴计划（https://openai.com/daybreak/partners/）。通过该计划，参与的合作伙伴可以在其提供给客户的安全产品和服务中使用具有网络安全可信访问的GPT-5.5——这是我们用于大多数防御性网络安全工作的主要模型。这样，他们的客户可以从模型的防御能力中受益，使他们的软件更具弹性，同时将直接模型访问权限保留给参与的合作伙伴。 在橙色到黄色渐变背景上的标志云，显示客户或合作伙伴标志，包括埃森哲、Akamai、NCC Group、凯捷、Cato Networks、Check Point、思科、Cloudflare、高知特、CrowdStrike、Darktrace、Elastic、安永、飞塔、GuidePoint Security、IBM、毕马威、Okta、Palo Alto Networks、Proofpoint、普华永道、SentinelOne、SpecterOps、Sophos、Tenable、Trend AI、Wiz和Zscaler。 我们还将与合作伙伴合作，继续加强在安全生态系统中负责任地部署这些能力所需的安全保障、监控和滥用预防标准。我们正与初始合作伙伴（https://openai.com/daybreak/partners/）一起推出，并计划在未来几个月继续扩展到更多组织。 ## Patch the Planet：在开源项目中落地修复 Patch the Planet是一项旨在帮助维护者从发现问题转向修复问题的倡议。该倡议由Trail of Bits发起，并与HackerOne和Calif合作，我们资助专业的安全研究人员，并为他们配备Codex Security和我们的先进模型，以便直接与开源维护者合作。 开源软件为跨行业的产品、公共服务、开发人员工具和关键基础设施提供动力。广泛使用的网络库中的漏洞可能影响数千个下游系统。然而，许多这些项目由非常小的团队维持，时间和资金有限。Linux基金会和哈佛大学的研究（在新窗口中打开）（https://www.hbs.edu/ris/download.aspx?name=Harvard+Census+II+of+Free+and+Open+Source+Software+-+Report.pdf）发现，其研究的广泛使用的项目中，94%的项目在一年的代码贡献中，超过90%的代码由不到十名开发者负责。 随着AI使发现和修补更多漏洞的速度更快，这也给维护者带来了更多工作，他们需要筛选成千上万的报告，其中许多是低质量的误报。维护者不应只获得更多报告而没有额外的能力去修复它们。这就是为什么Patch the Planet建立在专业的人工安全审查之上。 每次参与都从我们的安全研究人员与他们正在帮助的维护者之间的咨询开始。维护者定义他们的优先级、偏好和既定的披露流程。然后，Patch the Planet的安全研究人员端到端管理整个工作——在将漏洞和补丁提交给维护者之前进行验证和去重，显著减轻维护者的负担并加快修复速度。 参与项目将获得ChatGPT Pro、Codex Security的条件访问权限以及用于核心开发、维护者自动化和发布工作流的API额度。 最初的五天冲刺跨多个项目，审核了数百个问题，合并了数十个补丁（更多正在进行中），并构建了可重用的模糊测试、变体分析、差异测试和基于规范的测试工作流。你可以在Trail of Bits博客上阅读更多信息（在新窗口中打开）（https://blog.trailofbits.com/2026/06/22/introducing-patch-the-planet）。 发现漏洞很重要，但保护世界的是落地修复，而这需要协作和社区支持。 ## 保护关键基础设施和敏感系统 我们还在与全球各国政府和机构密切合作，提升其防御性网络安全能力并保护关键基础设施。随着我们为日益具备网络能力的AI模型做准备，我们一直与美国政府及相关联邦机构紧密合作。在过去一个月里，我们已经与澳大利亚、加拿大、法国、德国、日本、韩国以及欧盟机构（如ENISA）建立了网络安全可信访问合作伙伴关系。我们与英国政府在网络安全、测试和评估以及其他共同感兴趣的领域也建立了不断增长且可信的伙伴关系。 我们计划直接与符合条件的关基设施运营者（包括政府网络）合作，为其运营的系统量身定制安全保障措施。这项工作的重点是让先进的AI对防御者更有用，同时使恶意行为者更难造成现实世界的危害。 我们还将与企业客户和受信任的合作伙伴合作，整合更广泛的上下文和标识符，以了解其运营或保护的具体系统，从而加强我们的网络安全保障措施和防范涉及关键服务的有害网络活动的能力。 ## 接下来的计划 Daybreak整合了模型、Codex Security、Patch the Planet、专家研究人员、维护者、安全合作伙伴、关键基础设施运营者以及受信任的访问控制，以帮助人类防御者迎接挑战。 公共和私营部门的组织可以与OpenAI Daybreak合作，识别、验证和修复其构建和依赖的软件中的漏洞。开发人