News · Το Daybreak του OpenAI αναδιατυπώνει την κυβερνοάμυνα με επίκεντρο την επιδιόρθωση, όχι μόνο την εύρεση, ευπαθειών
Το Daybreak του OpenAI αναδιατυπώνει την κυβερνοάμυνα με επίκεντρο την επιδιόρθωση, όχι μόνο την εύρεση, ευπαθειών
Η επέκταση συνδυάζει ένα περιορισμένης πρόσβασης μοντέλο GPT-5.5-Cyber με ροές εργασίας Codex Security και ένα πρόγραμμα αποκατάστασης ανοιχτού κώδικα που αναπτύχθηκε με την Trail of Bits.
Η βασική παραδοχή: η ανακάλυψη δεν είναι πλέον το δύσκολο κομμάτι
Η οπτική του OpenAI για το Daybreak βασίζεται σε έναν και μόνο ισχυρισμό: τα μοντέλα αιχμής έχουν κάνει την εύρεση ευπαθειών αρκετά φθηνή, με αποτέλεσμα οι αμυνόμενοι να πνίγονται πλέον σε ευρήματα που δεν μπορούν να διορθώσουν εγκαίρως. Η εταιρεία διατυπώνει το επιχείρημα ξεκάθαρα.
Το σημείο συμφόρησης ήταν ιστορικά η εύρεση ευπαθειών, αλλά πλέον οι αμυνόμενοι είναι κατακλυσμένοι από τον αριθμό των ευπαθειών που εντοπίζονται. Αντίθετα, το σημείο συμφόρησης είναι πλέον η επιδιόρθωση ευπαθειών.Montana Labs
Όλα όσα περιλαμβάνει η ανακοίνωση απορρέουν από αυτή την αναδιατύπωση. Αντί να προωθεί έναν σκάνερ που παράγει περισσότερες ειδοποιήσεις, το OpenAI περιγράφει μια αλυσίδα βημάτων που θέλει να αυτοματοποιήσει: επικύρωση ενός ζητήματος, έλεγχο αν ο ευπαθής κώδικας είναι προσβάσιμος, δημιουργία και δοκιμή μιας διόρθωσης, και προετοιμασία τεκμηρίωσης για έναν άνθρωπο αξιολογητή. Το επιχείρημα είναι ότι μια αναφορά ευπάθειας, από μόνη της, δεν προστατεύει κανέναν.
Τι έχει επεξεργαστεί στην πραγματικότητα το Codex Security
Τα πιο συγκεκριμένα στοιχεία προέρχονται από τη χρήση του Codex Security από την προεπισκόπηση έρευνάς του τον Μάρτιο. Το OpenAI αναφέρει ότι έχει σκανάρει πάνω από 30 εκατομμύρια commits σε περισσότερα από 30.000 codebases. Άνθρωποι αξιολογητές επισήμαναν χειροκίνητα πάνω από 70.000 ευρήματα ως διορθωμένα, ενώ πάνω από 500.000 ευρήματα προσδιορίστηκαν αυτόματα ως διορθωμένα.
Αυτή η αναλογία αξίζει προσεκτικής ανάγνωσης. Η μεγάλη πλειονότητα των κλεισμένων υποθέσεων είναι αυτόματοι προσδιορισμοί και όχι διορθώσεις επιβεβαιωμένες από άνθρωπο, κάτι που συμφωνεί με το ίδιο το επιχείρημα του OpenAI ότι η χειροκίνητη αξιολόγηση δεν κλιμακώνεται στον όγκο ευρημάτων που παράγει σήμερα η ΤΝ. Το ενημερωμένο plugin αντιμετωπίζει απευθείας αυτό το πρόβλημα συσσωρευμένων εκκρεμοτήτων: μπορεί να εισάγει υπάρχοντα ευρήματα από σκάνερ, ειδοποιήσεις ασφάλειας, αναφορές bug-bounty ή συστήματα ticketing, και στη συνέχεια να παράγει διορθώσεις σε μεγάλη κλίμακα για να τα κλείσει.
Οι λεπτομέρειες διαλειτουργικότητας έχουν σημασία για ομάδες που εξετάζουν αν αυτό ταιριάζει με τα υπάρχοντα εργαλεία τους. Το Codex Security μπορεί να εξάγει δεδομένα σε συστήματα διαχείρισης ευπαθειών και να ενσωματώνεται μέσω αρχείων SARIF και ερωτημάτων CodeQL, ενώ εκτελείται μέσω του Codex CLI ή της εφαρμογής Codex. Τοποθετείται ως ένα επιπλέον στρώμα πάνω στις υπάρχουσες ροές εργασίας και όχι ως αντικαταστάτης τους.
Ένα άλμα σε δείκτες αναφοράς σε συνδυασμό με σκόπιμους περιορισμούς πρόσβασης
Η πλήρης κυκλοφορία του GPT-5.5-Cyber αναφέρει βελτιώσεις σε τρεις δείκτες αναφοράς. Πετυχαίνει 85,6% στο CyberGym έναντι 81,8% για το GPT-5.5, το οποίο το OpenAI αποκαλεί την υψηλότερη βαθμολογία μεμονωμένου μοντέλου που έχει καταγράψει εκεί. Στο ExploitGym, που εξετάζει τη μετατροπή γνωστών ευπαθειών σε λειτουργικά exploits που επιτυγχάνουν μη εξουσιοδοτημένη εκτέλεση κώδικα, σκοράρει 39,5% έναντι 25,95%. Στο SEC-bench Pro πετυχαίνει 69,8% έναντι 63,1%.
Ο αριθμός του ExploitGym είναι ο πιο αποκαλυπτικός: το OpenAI μετρά ανοιχτά πόσο καλά το μοντέλο δημιουργεί λειτουργικά exploits, μια δυνατότητα διπλής χρήσης. Η απάντησή του είναι να την περιορίσει και όχι να την διαδώσει. Το GPT-5.5-Cyber κυκλοφορεί μέσω περιορισμένης διάθεσης σε επαληθευμένους αμυνόμενους, περιγράφεται ως πιο ελαστικό και συνδυάζεται με ισχυρότερη επαλήθευση, παρακολούθηση, καθορισμένους ελέγχους και αξιολόγηση. Για τους περισσότερους χρήστες, το OpenAI τους κατευθύνει αντίθετα στο GPT-5.5 με Trusted Access for Cyber και Codex Security.
Η εταιρεία αναφέρει επίσης συγκεκριμένα τη συνεργασία της με κυβερνήσεις: δοκιμές πριν από την ανάπτυξη με το CAISI, καθώς και συνεργασία με το Office of the National Cyber Director και το OSTP σχετικά με την εφαρμογή ενός πρόσφατου Executive Order. Πρόκειται για αξιοσημείωτο βαθμό ρυθμιστικού συντονισμού που αποκαλύπτεται παράλληλα με την κυκλοφορία ενός προϊόντος.
Το Patch the Planet στοχεύει στο πρόβλημα χωρητικότητας των maintainers
Ο σκέλος ανοιχτού κώδικα, που δημιουργήθηκε με την Trail of Bits και με τη συμμετοχή των HackerOne και Calif, βασίζεται σε μια πραγματική διαρθρωτική αδυναμία που επικαλείται το OpenAI: έρευνα του Linux Foundation και του Harvard διαπίστωσε ότι το 94 τοις εκατό των ευρέως χρησιμοποιούμενων έργων που μελετήθηκαν είχαν λιγότερους από δέκα προγραμματιστές υπεύθυνους για πάνω από το 90 τοις εκατό του ετήσιου κώδικα.
Το OpenAI παραδέχεται ανοιχτά ότι η ίδια του η τεχνολογία επιτείνει αυτό το πρόβλημα. Περισσότερα ευρήματα σημαίνουν περισσότερη δουλειά για τους maintainers, οι οποίοι πρέπει να ξεδιαλύνουν χιλιάδες αναφορές, πολλές από τις οποίες είναι ψευδώς θετικά χαμηλής ποιότητας. Έτσι, το πρόγραμμα χρηματοδοτεί ερευνητές ασφάλειας που επικυρώνουν και αφαιρούν διπλότυπα τόσο από ευπάθειες όσο και από διορθώσεις, πριν αυτές φτάσουν στους maintainers. Πάνω από 30 έργα έχουν δεσμευτεί, μεταξύ αυτών τα cURL, Go, Python, Sigstore και pyca/cryptography. Ένα αρχικό πενθήμερο sprint ανέδειξε εκατοντάδες ζητήματα και ενσωμάτωσε δεκάδες διορθώσεις.
Το συμπέρασμα: το OpenAI ενοικιάζει κυβερνο-δυνατότητες, δεν τις διαθέτει ελεύθερα
Η καθοριστική επιλογή στο Daybreak είναι το πόσο στενά διατηρεί το OpenAI την ισχυρότερη δυνατότητά του. Το Cyber Partner Program επιτρέπει σε προμηθευτές ασφάλειας να ενσωματώσουν το GPT-5.5 με Trusted Access στα δικά τους προϊόντα, αλλά διατηρεί την άμεση πρόσβαση στο μοντέλο στα χέρια των συνεργατών, όχι των πελατών τους. Το GPT-5.5-Cyber παραμένει πίσω από επαλήθευση για ονομαστικά καταγεγραμμένους αμυνόμενους. Συνεργασίες Trusted Access for Cyber συνάπτονται με συγκεκριμένες κυβερνήσεις — Αυστραλία, Καναδά, Γαλλία, Γερμανία, Ιαπωνία, Δημοκρατία της Κορέας, θεσμικά όργανα της ΕΕ όπως ο ENISA, και το Ηνωμένο Βασίλειο.
Για τις ομάδες εφαρμοσμένης ανάπτυξης, αυτό σημαίνει ότι η αξία εδώ παραδίδεται ως ελεγχόμενο επίπεδο υπηρεσίας και όχι ως ανοιχτή δυνατότητα. Το αν ένας οργανισμός μπορεί να χρησιμοποιήσει την πιο ισχυρή αυτοματοποιημένη διόρθωση του Daybreak εξαρτάται λιγότερο από την τεχνική καταλληλότητα και περισσότερο από το ποιο κανάλι πρόσβασης — επαληθευμένος αμυνόμενος, συνεργάτης προγράμματος, κυβέρνηση ή φορέας κρίσιμων υποδομών — πληροί τις προϋποθέσεις να χρησιμοποιήσει. Το OpenAI στοιχηματίζει ότι ο εκδημοκρατισμός της άμυνας και η αυστηρή φύλαξη του μοντέλου με δυνατότητα exploit είναι συμβατοί στόχοι, και το Daybreak είναι η δομή που έχτισε για να κρατήσει και τους δύο ταυτόχρονα.
Find this story relevant to you?
Contact us to find a unique solution
Χρειάζεστε συνεργάτη AI engineering που μπορεί να παραδώσει;
Βοηθάμε ομάδες στην Ελλάδα να ενσωματώσουν AI, να δημιουργήσουν AI-powered προϊόντα, να αυτοματοποιήσουν κρίσιμες ροές εργασίας και να εκσυγχρονίσουν τα συστήματα που τα στηρίζουν.
Σχετικά άρθρα
Περισσότερη ανάλυση για την παράδοση προϊόντων, τη λειτουργική ΤΝ και τη δουλειά στα συστήματα που κάνει την ανάπτυξη να αντέχει στην πράξη.