News · Daybreak, da OpenAI, muda o foco da cibersegurança de encontrar vulnerabilidades para corrigi-las

Jun, 284 min de leitura
Plataforma

Daybreak, da OpenAI, muda o foco da cibersegurança de encontrar vulnerabilidades para corrigi-las

A expansão combina um modelo GPT-5.5-Cyber com acesso restrito a fluxos de trabalho do Codex Security e um programa open-source de correção criado com a Trail of Bits.

A premissa: descobrir vulnerabilidades já não é a parte difícil

O argumento da OpenAI para o Daybreak se apoia numa única afirmação: os modelos de ponta tornaram tão barato encontrar vulnerabilidades que os times de defesa agora estão afogados em descobertas que não conseguem corrigir a tempo. A empresa não deixa dúvida sobre isso.

Historicamente, o gargalo era encontrar vulnerabilidades, mas agora os times de defesa estão sobrecarregados com a quantidade de vulnerabilidades encontradas. O gargalo, hoje, é corrigi-las.Montana Labs

Tudo no anúncio decorre dessa mudança de perspectiva. Em vez de promover um scanner que gera mais alertas, a OpenAI descreve uma cadeia de etapas que quer automatizar: validar um problema, checar se o código vulnerável é acessível, gerar e testar uma correção, e preparar evidências para um revisor humano. A ideia central é que um relatório de vulnerabilidade, por si só, não protege ninguém.

O que o Codex Security já processou de fato

A evidência mais concreta vem do uso do Codex Security desde sua prévia de pesquisa em março. A OpenAI afirma ter escaneado mais de 30 milhões de commits em mais de 30 mil bases de código. Revisores humanos marcaram manualmente mais de 70 mil descobertas como corrigidas, e mais de 500 mil descobertas foram automaticamente identificadas como resolvidas.

Vale a pena olhar com atenção para essa proporção. A grande maioria dos casos encerrados são determinações automáticas, não correções confirmadas por humanos, o que reforça o próprio argumento da OpenAI de que a revisão manual não acompanha o volume de descobertas que a IA gera hoje. O plugin atualizado ataca esse acúmulo diretamente: ele consegue importar descobertas já existentes de scanners, alertas de segurança, relatórios de bug bounty ou sistemas de tickets, e então gerar correções em escala para resolvê-las.

Os detalhes de interoperabilidade importam para times que estão avaliando se isso se encaixa nas ferramentas que já usam. O Codex Security pode exportar para sistemas de gestão de vulnerabilidades e se integrar via arquivos SARIF e queries CodeQL, funcionando através do Codex CLI ou do app do Codex. A proposta é ser uma camada sobre os pipelines atuais, não um substituto.

Um salto de desempenho combinado com limites de acesso deliberados

O lançamento completo do GPT-5.5-Cyber traz ganhos em três benchmarks. Ele atinge 85,6% no CyberGym, contra 81,8% do GPT-5.5, o que a OpenAI chama de sua maior pontuação individual nesse teste. No ExploitGym, que avalia a transformação de vulnerabilidades conhecidas em exploits funcionais capazes de execução de código não autorizada, ele marca 39,5% contra 25,95%. No SEC-bench Pro, chega a 69,8% contra 63,1%.

O número do ExploitGym é o mais revelador: a OpenAI está medindo abertamente a capacidade do modelo de criar exploits funcionais, uma capacidade de uso duplo. A resposta da empresa é restringir o acesso em vez de divulgar amplamente. O GPT-5.5-Cyber é lançado de forma limitada para defensores verificados, descrito como mais permissivo e acompanhado de verificação mais rigorosa, monitoramento, controles delimitados e revisão. Para a maioria dos usuários, a OpenAI direciona o uso do GPT-5.5 com Trusted Access for Cyber e Codex Security.

A empresa também nomeia especificamente seu envolvimento com governos: testes pré-lançamento com o CAISI, e trabalho com o Office of the National Cyber Director e o OSTP na implementação de uma Ordem Executiva recente. É um nível notável de articulação regulatória revelado junto com o lançamento de um produto.

Patch the Planet ataca o problema da capacidade dos mantenedores

A frente open-source, criada com a Trail of Bits e envolvendo HackerOne e Calif, foi construída em torno de uma fragilidade estrutural real citada pela OpenAI: pesquisas da Linux Foundation e de Harvard mostraram que 94% dos projetos amplamente usados estudados tinham menos de dez desenvolvedores responsáveis por mais de 90% do código produzido em um ano.

A OpenAI reconhece abertamente que sua própria tecnologia agrava esse problema. Mais descobertas significam mais trabalho para mantenedores, que precisam filtrar milhares de relatórios, muitos deles falsos positivos de baixa qualidade. Por isso, o programa financia pesquisadores de segurança que validam e eliminam duplicidades tanto em vulnerabilidades quanto em correções antes que elas cheguem aos mantenedores. Mais de 30 projetos já aderiram, incluindo cURL, Go, Python, Sigstore e pyca/cryptography. Um sprint inicial de cinco dias revelou centenas de problemas e integrou dezenas de correções.

A implicação: a OpenAI está alugando capacidade cibernética, não distribuindo-a

A decisão que define o Daybreak é o quanto a OpenAI restringe o acesso à sua capacidade mais poderosa. O Cyber Partner Program permite que fornecedores de segurança incorporem o GPT-5.5 com Trusted Access em seus próprios produtos, mas mantém o acesso direto ao modelo nas mãos dos parceiros, não dos clientes finais deles. O GPT-5.5-Cyber continua restrito a defensores nomeados e verificados. As parcerias de Trusted Access for Cyber estão sendo firmadas com governos específicos — Austrália, Canadá, França, Alemanha, Japão, República da Coreia, instituições da UE como a ENISA, e o Reino Unido.

Para times que aplicam essas soluções no dia a dia, isso significa que o valor aqui é entregue como um nível de serviço controlado, não como uma capacidade aberta a todos. A possibilidade de uma organização usar a automação de correção mais poderosa do Daybreak depende menos do encaixe técnico e mais de qual canal de acesso — defensor verificado, parceiro do programa, governo ou operador de infraestrutura crítica — ela se qualifica para acessar. A OpenAI está apostando que democratizar a defesa e restringir o acesso ao modelo capaz de gerar exploits são objetivos compatíveis, e o Daybreak é a estrutura que ela construiu para sustentar os dois ao mesmo tempo.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Precisa de um parceiro de engenharia de IA que consiga construir de verdade?

Ajudamos empresas no Brasil a integrar IA, acelerar produtos com IA, automatizar operações e modernizar os sistemas de software por trás do negócio.

Get in touch

Leituras relacionadas

Mais análises sobre entrega de produto, IA operacional e o trabalho de sistemas que faz a implantação se sustentar na prática.

Jul, 134 min de leitura
Plataforma

Doppel automatiza a remoção de sites de phishing com um pipeline de cinco etapas usando GPT-5 e RFT

Jul, 134 min de leitura
Plataforma

A aposta da Deutsche Telekom: as redes de voz como interface de IA

Jul, 134 min de leitura
Plataforma

A expansão de 5GW da Meta na Louisiana é anunciada com bônus para professores, não teraflops