OpenAI扩展Daybreak计划：发布Patch the Planet与GPT-5.5-Cyber完整版

OpenAI集团今日宣布扩展其Daybreak网络安全项目，推出名为"Patch the Planet"的新开源补丁修复计划、更新版Codex Security插件、合作伙伴计划，以及其最强防御模型GPT-5.5-Cyber的完整版本。

此次举措标志着OpenAI在AI与安全领域的战略重心出现转移。该公司表示，其模型发现漏洞的速度已超过防御团队修复的速度，导致安全团队被大量报告淹没。OpenAI指出，当前的新瓶颈在于补丁修复环节，而非漏洞发现。

Patch the Planet是此次扩展的核心。该计划由OpenAI与安全公司Trail of Bits联合创立，并与HackerOne及Calif合作，旨在资助专业安全研究人员，并为其配备Codex Security和OpenAI模型，以便直接与广泛使用的开源项目维护者协作。目前已有超过30个项目承诺参与，早期参与者包括cURL、Go项目、Python、Sigstore和pyca/cryptography。

该计划的核心依据是开源生态资源极度紧张的现状。OpenAI引用了Linux基金会与哈佛大学的研究数据：在被调查的广泛使用项目中，94%的项目有不到10名开发者负责了一年内超过90%的代码提交量。向如此小规模的团队投入更多AI生成的漏洞报告，只会加剧待处理积压，而非提升安全性。为避免这一问题，OpenAI表示，每一条Patch the Planet发现的问题在提交给项目维护者之前，都会由人工安全工程师进行审核。

据OpenAI介绍，一次为期五天的冲刺阶段发现了数百个问题，合并了数十个补丁，同时产出了可供项目持续使用的模糊测试和测试工具。Trail of Bits调动了其整个安全研究团队参与此项工作，并覆盖了19个项目。

OpenAI还公布了Daybreak更广泛工作的部分成果。其模型发现了OpenBSD内核中一个已存在23年的"释放后使用"（use-after-free）漏洞。在dnsmasq方面，Codex标记出的模式与后来被分配CVE编号并修复的六个dnsmasq漏洞中的四个相吻合。

在浏览器安全领域，研究成果更为突出。OpenAI研究人员在Chrome的V8 JavaScript引擎中发现了五个可利用漏洞；在Safari的WebKit中发现了超过10个。Firefox案例的时机尤为关键：Mozilla在Pwn2Own柏林大赛开幕前仅两天，修复了一个由GPT-5.5发现的WebAssembly漏洞，此后注册参加该赛事的六支Firefox参赛队伍中有五支相继撤出。

GPT-5.5-Cyber完整版也已正式上线，取代了此前仅限许可预览的版本。OpenAI公布其CyberGym评分为85.6%，高于标准版GPT-5.5的81.8%。该基准测试用于评估智能体能否复现已知漏洞。访问权限仍仅向通过该公司"网络可信访问"（Trusted Access for Cyber）计划审核的防御方开放。

此次扩展还推出了Daybreak网络合作伙伴计划，允许安全厂商和集成商将具备可信访问权限的GPT-5.5接入其商业产品。首批启动合作伙伴包括埃森哲、思科、CrowdStrike、IBM、Okta、Palo Alto Networks和Wiz。

此次发布的时机颇为值得关注。竞争对手Anthropic的网络安全能力模型近期遭遇搁置，为OpenAI的进一步布局创造了空间。OpenAI表示，正持续与美国政府合作开展部署前测试，并在过去一个月内与澳大利亚、加拿大、法国、德国、日本、韩国及欧盟机构签署了可信访问合作协议。

自Codex Security研究预览版于今年3月上线以来，已扫描了逾3万个代码库中超过3000万次代码提交，人工审核员已将超过7万条发现标记为已修复。

Q&A

Q1：Patch the Planet计划是什么？它的目标是什么？

A：Patch the Planet是OpenAI联合Trail of Bits创立、并与HackerOne等合作的开源补丁修复计划。其目标是通过资助专业安全研究人员，为其配备Codex Security和OpenAI模型，直接协助开源项目维护者修复漏洞。背景是开源项目普遍人手不足，AI发现漏洞的速度已超过人工修复速度，该计划旨在解决"修复瓶颈"而非单纯发现更多漏洞。每条发现都由人工安全工程师审核后才提交给维护者。

Q2：GPT-5.5-Cyber和普通版GPT-5.5有什么区别？

A：GPT-5.5-Cyber是专为网络安全防御场景优化的版本，在CyberGym基准测试中得分为85.6%，高于标准版GPT-5.5的81.8%。该基准用于测试智能体能否复现已知漏洞。与标准版不同，GPT-5.5-Cyber的访问权限受到严格限制，仅对通过OpenAI"网络可信访问"计划审核的专业防御方开放，不对普通用户公开使用。

Q3：Codex Security目前的实际应用效果如何？

A：Codex Security自2025年3月研究预览版上线以来，已扫描超过3万个代码库中的3000万次代码提交，人工审核员已将超过7万条发现标记为已修复。在具体案例中，Codex在Chrome V8引擎中发现5个可利用漏洞，在Safari WebKit中发现10余个，并在Pwn2Own柏林大赛前两天协助Mozilla修复了一个Firefox WebAssembly漏洞，直接影响了参赛队伍的策略。