OpenAI擴大Daybreak資安計畫,發表Patch the Planet協助開源專案修補漏洞

此篇文章聚焦於OpenAI擴大資安防禦計畫Daybreak的最新布局,說明該公司不再只把AI定位為一般生產力工具,而是進一步將其推向漏洞偵測、威脅建模、程式碼分析與修補流程等更專業的資安場景。文章指出,OpenAI週一宣布推出完整版GPT-5.5-Cyber、更新Codex Security工具,並發表Patch the Planet計畫,三者共同構成Daybreak計畫的新階段。Daybreak本身是OpenAI於今年5月推出的資安防禦計畫,目標是結合AI模型、資安工具與外部合作夥伴,協助企業與開發社群找出、驗證並修補軟體漏洞。其中,GPT-5.5-Cyber是專為資安工作打造的AI模型,Codex Security則把Codex程式代理人導入資安流程,能協助分析程式碼、建立威脅模型、驗證漏洞並產生修補建議;而Patch the Planet則把焦點放在開源專案,希望透過資安研究人員與維護者合作,讓漏洞修補速度跟上AI帶來的漏洞發現速度。

此篇文章進一步說明,完整版GPT-5.5-Cyber的發布是本次更新的核心之一。該模型先前是隨Daybreak以預覽版形式提供給已驗證的資安防禦者使用,這次OpenAI則首度公布其測試成績。根據OpenAI說法,GPT-5.5-Cyber在CyberGym測試中取得85.6%的成績,高於一般版GPT-5.5的81.8%,在ExploitGym及SEC-bench Pro等資安測試中也優於一般版本,顯示專用模型在攻防情境、漏洞推理與資安任務上具備更強表現。文章也整理Codex Security的進展,指出該工具自3月以研究預覽版推出後,已掃描超過3萬個程式碼庫與3,000萬次程式提交,其中超過7萬項發現經人工確認並完成修補,另有逾50萬項由系統自動判定已修復。新版Codex Security可進行深度掃描、建立威脅模型、分析攻擊路徑、驗證漏洞,並為特定程式碼庫產生修補程式,供開發人員進一步審查,代表AI不只協助看見問題,也開始進入提出修法的階段。

文章最後將討論拉到開源生態系面臨的結構性壓力。OpenAI認為,AI大幅提升漏洞發現能力後,開源專案維護者可能會面臨更多通報與修補負擔,而許多熱門開源專案原本就長期缺乏足夠維護人力。文章引用Linux Foundation與哈佛大學研究指出,在受調查專案中,有94%的專案其九成以上程式碼變更是由不到10名開發者完成,顯示開源基礎設施雖被廣泛使用,背後維護量能卻相當有限。為解決資安瓶頸從「找漏洞」轉向「修漏洞」的問題,OpenAI與Trail of Bits、HackerOne及Calif共同成立Patch the Planet,資助資安研究人員利用Codex Security與OpenAI模型,協助開源維護者驗證漏洞、排除重複通報並提交修補程式。首批已有cURL、Go、Python、Sigstore與pyca/cryptography等超過30個開源專案參與,首輪5天測試也已產出數百項待審問題與數十個修補程式。此篇文章並指出,OpenAI的Daybreak與Anthropic的Project Glasswing在專用資安模型、資安工具與開源支援計畫上高度相似,顯示AI巨頭已在資安防禦領域展開正面競爭。

閱讀完整文章:https://www.ithome.com.tw/news/176787

Related posts