News · Daybreak di OpenAI ridefinisce la cyber defense puntando sulla correzione, non solo sulla scoperta, delle vulnerabilità

Jun, 284 min di lettura
Piattaforma

Daybreak di OpenAI ridefinisce la cyber defense puntando sulla correzione, non solo sulla scoperta, delle vulnerabilità

L'espansione affianca un modello GPT-5.5-Cyber ad accesso controllato a workflow di Codex Security e a un programma open source per la remediation sviluppato con Trail of Bits.

La premessa di partenza: scoprire non è più la parte difficile

L'impostazione di OpenAI per Daybreak si basa su un'unica affermazione: i modelli più avanzati hanno reso la scoperta delle vulnerabilità così economica che i team di sicurezza sono ormai sommersi da segnalazioni che non riescono a correggere in tempo. L'azienda lo dichiara senza mezzi termini.

Storicamente il collo di bottiglia era trovare le vulnerabilità, ma oggi i team di sicurezza sono sopraffatti dal numero di vulnerabilità individuate. Il vero ostacolo, adesso, è correggerle.Montana Labs

Tutto, nell'annuncio, discende da questa nuova impostazione. Invece di promuovere uno scanner che genera più alert, OpenAI descrive una catena di passaggi che vuole automatizzare: validare un problema, verificare se il codice vulnerabile è effettivamente raggiungibile, generare e testare una patch, e preparare le prove per un revisore umano. L'idea di fondo è che un report di vulnerabilità, da solo, non protegge nessuno.

Cosa ha realmente elaborato Codex Security

La prova più concreta arriva dall'utilizzo di Codex Security dalla sua anteprima di ricerca di marzo. OpenAI dichiara di aver scansionato oltre 30 milioni di commit in più di 30.000 codebase. I revisori umani hanno contrassegnato manualmente come risolte oltre 70.000 segnalazioni, mentre più di 500.000 sono state determinate automaticamente come corrette.

Questo rapporto merita attenzione. La grande maggioranza delle chiusure sono determinazioni automatiche e non correzioni confermate da un umano, il che conferma la tesi stessa di OpenAI secondo cui la revisione manuale non può scalare al volume di segnalazioni che l'IA genera oggi. Il plugin aggiornato affronta direttamente questo problema di arretrato: può importare segnalazioni esistenti da scanner, advisory, bug-bounty o sistemi di ticketing, per poi generare patch su larga scala e chiuderle.

I dettagli sull'interoperabilità sono importanti per i team che devono capire se questo si integra con gli strumenti già in uso. Codex Security può esportare verso sistemi di vulnerability management e integrarsi tramite file SARIF e query CodeQL, ed è utilizzabile via Codex CLI o l'app Codex. È pensato come un livello aggiuntivo sopra le pipeline esistenti, non come un sostituto.

Un salto nei benchmark accompagnato da limiti d'accesso deliberati

La release completa di GPT-5.5-Cyber riporta miglioramenti su tre benchmark. Raggiunge l'85,6% su CyberGym contro l'81,8% di GPT-5.5, un punteggio che OpenAI definisce il migliore mai ottenuto lì da un singolo modello. Su ExploitGym, che misura la capacità di trasformare vulnerabilità note in exploit funzionanti capaci di esecuzione di codice non autorizzata, ottiene il 39,5% contro il 25,95%. Su SEC-bench Pro arriva al 69,8% contro il 63,1%.

Il dato su ExploitGym è quello più rivelatore: OpenAI misura apertamente quanto bene il modello costruisce exploit funzionanti, una capacità a duplice uso. La sua risposta è limitare l'accesso invece di diffonderlo. GPT-5.5-Cyber viene distribuito tramite una release limitata a difensori verificati, descritta come più permissiva ma affiancata da verifiche più severe, monitoraggio, controlli ristretti e revisione. Per la maggior parte degli utenti, OpenAI indirizza invece verso GPT-5.5 con Trusted Access for Cyber e Codex Security.

L'azienda cita anche in modo specifico il proprio coinvolgimento con le istituzioni: test pre-distribuzione con CAISI, e collaborazione con l'Office of the National Cyber Director e l'OSTP per l'attuazione di un recente ordine esecutivo. È un livello notevole di coordinamento normativo rivelato insieme al lancio di un prodotto.

Patch the Planet affronta il problema della capacità dei maintainer

Il ramo open source, fondato con Trail of Bits e con il coinvolgimento di HackerOne e Calif, nasce attorno a una debolezza strutturale reale citata da OpenAI: una ricerca della Linux Foundation e di Harvard ha rilevato che nel 94% dei progetti ampiamente utilizzati analizzati, meno di dieci sviluppatori sono responsabili di oltre il 90% del codice scritto in un anno.

OpenAI ammette apertamente che la propria tecnologia peggiora questa situazione. Più segnalazioni significano più lavoro per i maintainer, costretti a filtrare migliaia di report, molti dei quali falsi positivi di scarsa qualità. Il programma finanzia quindi ricercatori di sicurezza che validano ed eliminano i duplicati sia delle vulnerabilità che delle patch prima che arrivino ai maintainer. Più di 30 progetti hanno già aderito, tra cui cURL, Go, Python, Sigstore e pyca/cryptography. Uno sprint iniziale di cinque giorni ha fatto emergere centinaia di problemi e portato al merge di decine di patch.

L'implicazione: OpenAI concede in prestito la capacità cyber, non la distribuisce

La scelta che definisce Daybreak è quanto strettamente OpenAI trattenga la sua capacità più potente. Il Cyber Partner Program permette ai fornitori di sicurezza di integrare GPT-5.5 con Trusted Access nei propri prodotti, ma l'accesso diretto al modello resta nelle mani dei partner, non dei loro clienti. GPT-5.5-Cyber rimane protetto da verifica per difensori nominati. Le partnership Trusted Access for Cyber vengono stipulate con governi specifici — Australia, Canada, Francia, Germania, Giappone, Repubblica di Corea, istituzioni UE come ENISA, e Regno Unito.

Per i team applicati, questo significa che il valore qui viene fornito come un livello di servizio controllato, non come una capacità aperta a tutti. Se un'organizzazione può usare l'automazione di patching più potente di Daybreak dipende meno dall'adeguatezza tecnica e più dal canale di accesso di cui dispone — difensore verificato, partner di programma, governo o operatore di infrastrutture critiche. OpenAI punta sul fatto che democratizzare la difesa e tenere sotto controllo il modello capace di exploit siano obiettivi compatibili, e Daybreak è la struttura che ha costruito per tenerli insieme.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Cerchi un partner di ingegneria AI capace di costruire davvero?

Aiutiamo le aziende a integrare l AI nei prodotti, automatizzare i flussi di lavoro ad alto valore e modernizzare i sistemi software che sostengono la crescita.

Get in touch

Letture correlate

Altre analisi su delivery di prodotto, IA operativa e il lavoro sui sistemi che fa reggere il deployment alla prova dei fatti.

Jul, 134 minuti di lettura
Piattaforma

Doppel automatizza la rimozione dei contenuti di phishing con una pipeline in cinque fasi basata su GPT-5 e RFT

Jul, 134 min di lettura
Piattaforma

L'espansione di Meta a 5GW in Louisiana viene annunciata con i bonus agli insegnanti, non con i teraflops

Jul, 94 min di lettura
Piattaforma

Il GPT-5 di OpenAI arriva come router su più modelli, non come modello unico