OpenAI rozširuje Daybreak: od hľadania zraniteľností k ich opravám

OpenAI predstavila rozšírenie bezpečnostného programu Daybreak a súvisiacu iniciatívu Patch the Planet. Hlavná myšlienka je posunúť AI v kyberbezpečnosti od samotného nachádzania zraniteľností k celému procesu ich opravy. Firma tvrdí, že umelá inteligencia mení ekonomiku bezpečnostného výskumu: zraniteľnosti je možné hľadať rýchlejšie, ale ak sa nálezy nepremenia na validované a nasadené opravy, organizácie nie sú bezpečnejšie.

OpenAI preto opisuje nový bottleneck ako patching, nie discovery. V praxi to znamená, že bezpečnostné tímy môžu byť zahltené nálezmi, advisories, reportmi z bug bounty programov a výstupmi skenerov. Samotný report však nikoho nechráni. Je potrebné overiť, či je problém reálny, aký má dosah, kde je zasiahnutý kód, ako pripraviť opravu, ako ju otestovať a ako ju bezpečne nasadiť alebo koordinovane zverejniť.

Súčasťou oznámenia je Codex Security, aktualizovaný plugin pre vyhľadávanie, validáciu a opravu zraniteľností v existujúcich kódoch. OpenAI uvádza, že Codex Security cloud od výskumného preview v marci skenoval viac než 30 000 kódových báz a vyše 30 miliónov commitov. Ľudia podľa firmy manuálne označili viac než 70 000 nálezov ako opravených a systém automaticky určil viac než 500 000 nálezov ako vyriešených.

Dôležité je, že Codex Security nemá byť len ďalší generátor alertov. Plugin má pomáhať pri hlbokom skene codebase, kontrole čerstvých zmien, tvorbe threat modelu, trasovaní attack path, validácii existujúcich nálezov a návrhu patchov na ľudskú revíziu. OpenAI pritom zdôrazňuje, že ľudia rozhodujú, ktoré zistenia sa budú skúmať, ktoré zmeny sa aplikujú a aké informácie sa zdieľajú.

OpenAI zároveň uvádza GPT-5.5-Cyber v plnej verzii v režime pokračujúceho obmedzeného prístupu pre dôveryhodných obrancov. Firma cituje výsledky na CyberGym, ExploitGym a SEC-bench Pro, kde má kybernetická verzia modelu prekonávať základný GPT-5.5. Tieto čísla sú užitočným signálom, ale pri bezpečnostných modeloch je dôležitejší kontext nasadenia: komu je prístup povolený, ako sa logujú kroky, ako sa bráni zneužitiu a či výstupy vedú k opravám, nie iba k exploitom.

Druhá časť oznámenia, Patch the Planet, cieli na open-source ekosystém. Iniciatíva vzniká s Trail of Bits a zapája partnerov ako HackerOne a Calif. Cieľom je pomôcť udržiavateľom kritických projektov s validáciou zraniteľností, patchovaním, testami, koordinovaným zverejňovaním a bezpečnostnou infraštruktúrou. Počiatočné projekty zahŕňajú cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, Go, freenginx, Python a python.org.

Tento model je zaujímavý, pretože explicitne priznáva limit open-source údržby. Udržiavatelia už dnes nesú veľkú časť digitálnej infraštruktúry a AI môže počet reportov ešte zvýšiť. Patch the Planet sľubuje, že bezpečnostní inžinieri najprv nálezy preveria, pripravia opravy a testy a až potom zaťažia maintainerov. To je správny smer, pretože nekontrolovaný prílev AI-generovaných reportov by mohol open source skôr spomaliť než ochrániť.

OpenAI uvádza, že Trail of Bits pridelil plnohodnotných bezpečnostných inžinierov k práci s Codexom a GPT-5.5-Cyber naprieč devätnástimi open-source projektmi. Prvá vlna mala identifikovať stovky bezpečnostných problémov, zlúčiť desiatky patchov a vybudovať opakovateľné workflow, napríklad fuzzing harnesses, historické CVE analýzy, differential testing, threat modely, rozšírené test suites, deduplikáciu a opravu falošných pozitív.

Pre firmy je význam Daybreaku dvojitý. Na jednej strane naznačuje, že bezpečnostné tímy budú mať čoraz silnejšie nástroje na rýchle preverenie a opravu zraniteľností. Na druhej strane to zvyšuje tlak na procesy: bez jasného vlastníctva kódu, CI testov, review pravidiel a koordinácie disclosure môže AI vyrobiť viac práce, než vyrieši. Najväčší prínos preto nebude v autonómnom patchovaní bez kontroly, ale v zrýchlení práce skúsených obrancov.

Daybreak ukazuje, že agentické kódovanie a kyberbezpečnosť sa začínajú spájať do jedného pracovného toku. Model nájde podozrivý vzor, vyhodnotí dosiahnuteľnosť, pripraví test, navrhne opravu a človek rozhodne, čo sa zlúči. Ak sa tento model osvedčí v kritickom open-source softvéri, môže zmeniť aj interné bezpečnostné tímy: menej neoverených tiketov, viac dôkazov pri každom náleze a rýchlejší prechod od zraniteľnosti k nasadenej oprave.