OpenAI集团今日宣布扩展其Daybreak网络安全项目,推出名为"Patch the Planet"的新开源补丁修复计划、更新版Codex Security插件、合作伙伴计划,以及其最强防御模型GPT-5.5-Cyber的完整版本。
此次举措标志着OpenAI在AI与安全领域的战略重心出现转移。该公司表示,其模型发现漏洞的速度已超过防御团队修复的速度,导致安全团队被大量报告淹没。OpenAI指出,当前的新瓶颈在于补丁修复环节,而非漏洞发现。
Patch the Planet是此次扩展的核心。该计划由OpenAI与安全公司Trail of Bits联合创立,并与HackerOne及Calif合作,旨在资助专业安全研究人员,并为其配备Codex Security和OpenAI模型,以便直接与广泛使用的开源项目维护者协作。目前已有超过30个项目承诺参与,早期参与者包括cURL、Go项目、Python、Sigstore和pyca/cryptography。
该计划的核心依据是开源生态资源极度紧张的现状。OpenAI引用了Linux基金会与哈佛大学的研究数据:在被调查的广泛使用项目中,94%的项目有不到10名开发者负责了一年内超过90%的代码提交量。向如此小规模的团队投入更多AI生成的漏洞报告,只会加剧待处理积压,而非提升安全性。为避免这一问题,OpenAI表示,每一条Patch the Planet发现的问题在提交给项目维护者之前,都会由人工安全工程师进行审核。
据OpenAI介绍,一次为期五天的冲刺阶段发现了数百个问题,合并了数十个补丁,同时产出了可供项目持续使用的模糊测试和测试工具。Trail of Bits调动了其整个安全研究团队参与此项工作,并覆盖了19个项目。
OpenAI还公布了Daybreak更广泛工作的部分成果。其模型发现了OpenBSD内核中一个已存在23年的"释放后使用"(use-after-free)漏洞。在dnsmasq方面,Codex标记出的模式与后来被分配CVE编号并修复的六个dnsmasq漏洞中的四个相吻合。
在浏览器安全领域,研究成果更为突出。OpenAI研究人员在Chrome的V8 JavaScript引擎中发现了五个可利用漏洞;在Safari的WebKit中发现了超过10个。Firefox案例的时机尤为关键:Mozilla在Pwn2Own柏林大赛开幕前仅两天,修复了一个由GPT-5.5发现的WebAssembly漏洞,此后注册参加该赛事的六支Firefox参赛队伍中有五支相继撤出。
GPT-5.5-Cyber完整版也已正式上线,取代了此前仅限许可预览的版本。OpenAI公布其CyberGym评分为85.6%,高于标准版GPT-5.5的81.8%。该基准测试用于评估智能体能否复现已知漏洞。访问权限仍仅向通过该公司"网络可信访问"(Trusted Access for Cyber)计划审核的防御方开放。
此次扩展还推出了Daybreak网络合作伙伴计划,允许安全厂商和集成商将具备可信访问权限的GPT-5.5接入其商业产品。首批启动合作伙伴包括埃森哲、思科、CrowdStrike、IBM、Okta、Palo Alto Networks和Wiz。
此次发布的时机颇为值得关注。竞争对手Anthropic的网络安全能力模型近期遭遇搁置,为OpenAI的进一步布局创造了空间。OpenAI表示,正持续与美国政府合作开展部署前测试,并在过去一个月内与澳大利亚、加拿大、法国、德国、日本、韩国及欧盟机构签署了可信访问合作协议。
自Codex Security研究预览版于今年3月上线以来,已扫描了逾3万个代码库中超过3000万次代码提交,人工审核员已将超过7万条发现标记为已修复。
Q&A
Q1:Patch the Planet计划是什么?它的目标是什么?
A:Patch the Planet是OpenAI联合Trail of Bits创立、并与HackerOne等合作的开源补丁修复计划。其目标是通过资助专业安全研究人员,为其配备Codex Security和OpenAI模型,直接协助开源项目维护者修复漏洞。背景是开源项目普遍人手不足,AI发现漏洞的速度已超过人工修复速度,该计划旨在解决"修复瓶颈"而非单纯发现更多漏洞。每条发现都由人工安全工程师审核后才提交给维护者。
Q2:GPT-5.5-Cyber和普通版GPT-5.5有什么区别?
A:GPT-5.5-Cyber是专为网络安全防御场景优化的版本,在CyberGym基准测试中得分为85.6%,高于标准版GPT-5.5的81.8%。该基准用于测试智能体能否复现已知漏洞。与标准版不同,GPT-5.5-Cyber的访问权限受到严格限制,仅对通过OpenAI"网络可信访问"计划审核的专业防御方开放,不对普通用户公开使用。
Q3:Codex Security目前的实际应用效果如何?
A:Codex Security自2025年3月研究预览版上线以来,已扫描超过3万个代码库中的3000万次代码提交,人工审核员已将超过7万条发现标记为已修复。在具体案例中,Codex在Chrome V8引擎中发现5个可利用漏洞,在Safari WebKit中发现10余个,并在Pwn2Own柏林大赛前两天协助Mozilla修复了一个Firefox WebAssembly漏洞,直接影响了参赛队伍的策略。
好文章,需要你的鼓励
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
英伟达推出Nemotron-Labs-Diffusion三模式语言模型,将逐字生成、并行扩散与自猜自验融于一体,单用户吞吐量最高达Qwen3-8B的4倍,同时保持相近准确率。
Uber周三发布了一款基于现代Ioniq 5改装的数据采集原型车,搭载14个摄像头、8个固态激光雷达和9个雷达,通过英伟达双驱Thor计算机处理数据。Uber计划今年在全球部署500辆此类车辆,每月可采集200万英里高保真驾驶数据,供Avride、Waymo、WeRide等30余家自动驾驶合作伙伴使用。这是Uber自2020年出售自动驾驶部门以来首次自主组装车辆,也是其AV Labs部门的重要进展。
SIEVE是一种面向机器人模仿学习的数据筛选方法,通过发现可复用行为原语和转换接口,用50%数据和训练量超越全量训练效果。