Daybreak: Strumenti per la sicurezza di ogni organizzazione nel mondo

OpenAI sta espandendo il programma Daybreak per democratizzare il patching delle vulnerabilità software al livello della velocità delle macchine. Grazie alla potenza dei modelli, OpenAI sta applicando queste tecnologie per scoprire e generare patch per vulnerabilità critiche in browser principali, infrastrutture di rete e sistemi operativi come FreeBSD e il kernel Linux. Per aumentare l’impatto di queste capacità:

Strumenti e iniziative per la sicurezza informatica

• Codex Security: OpenAI sta lanciando un aggiornamento del plugin Codex Security, che integra le conoscenze acquisite sia internamente che dagli utenti dei suoi modelli in una soluzione volta ad accelerare la scoperta e la riparazione delle vulnerabilità esistenti. Inoltre, il plugin aiuta a prevenire che nuove vulnerabilità raggiungano l'ambiente di produzione.
• GPT-5.5-Cyber: Dopo un'anteprima limitata a funzionalità permissive, OpenAI lancia la versione completa di GPT-5.5-Cyber, disponibile solo tramite la sua distribuzione limitata a difensori fidati. Questo modello presenta una prestazione di assoluto livello sui benchmark CyberGym con un punteggio del 85.6% rispetto al 81.8% di GPT-5.5.
• Daybreak Cyber Partner Program: Il programma permette a partner di sicurezza di estendere i benefici di OpenAI a più organizzazioni attraverso i suoi modelli più avanzati, con accesso controllato nel loro prodotto o servizio.
• Patch the Planet: Un’iniziativa fondata con Trail of Bits in collaborazione con HackerOne, enti accademici californiani e maintainer, che aiuta progetti open-source ampiamente utilizzati a passare da scoperte a riparazioni.

Patch the Planet

• Finora, più di 30 progetti open-source hanno aderito, tra cui cURL, Go, Python, Sigstore e pyca/cryptography.
• Con Patch the Planet, OpenAI lavora con ricercatori, maintainer, aziende e partner per rendere disponibili capacità di difesa informatica potenti ai difensori, attraverso accesso, governance e supervisione umana adeguate. Scopri maggiori informazioni da Clint e Dan qui.

La difesa informatica sta attraversando un momento chiave

L’intelligenza artificiale ha cambiato la fisica della cybersecurity. I modelli AI all’avanguardia stanno accelerando la scoperta di vulnerabilità. Un tempo, il collo di bottiglia consisteva nel trovare le vulnerabilità, ma ora, con il numero crescente di vulnerabilità scoperte, il collo di bottiglia è diventato correggerle.

Riconoscere una vulnerabilità richiedeva una conoscenza rara, del tempo e una profonda familiarità con sistemi complessi. Oggi, i modelli AI possono analizzare grandi codebase, seguire percorsi di attacco, verificare ipotesi e svelare problemi di sicurezza altrimenti nascosti. I difensori hanno bisogno di tali capacità, ma anche di strumenti per correggere ciò che viene scoperto prima che gli exploit vengano lanciati.

I report di vulnerabilità da soli non proteggono nessuno. Il vero valore arriva da una convalida, una valutazione dell’impatto, lo sviluppo e il test di un patch, la coordinazione della divulgazione e il supporto per distribuire la correzione. OpenAI investe insieme ai suoi partner per migliorare ogni aspetto di questo processo, per accelerare il lavoro dei difensori e tradurre la potenza modellare in una riduzione effettiva dei rischi.

L’accesso democraticizzato alle capacità di difesa

Le capacità all'avanguardia devono essere disponibili a tutti, e non solo a pochi. Il software riguarda aspetti vitali della vita quotidiana, dalla rete energetica critica agli applicativi aziendali e alla rete governativa. Man mano che l’AI modifica il ritmo della scoperta di vulnerabilità, i difensori ovunque hanno bisogno di accesso democraticizzato a modelli di AI per scoprire, correggere e proteggere le loro infrastrutture prima che gli attacchi abbiano luogo.

Daybreak riunisce le capacità di cybersecurity avanzate sviluppate da OpenAI, l'accesso controllato ai suoi modelli, Codex Security e un vasto ecosistema di partner per consentire ai difensori autorizzati di verificare le vulnerabilità, priorizzare i rischi, generare e testare le correzioni e produrre prove entro i flussi esistenti di sicurezza e sviluppo. L’obiettivo è fornire alle organizzazioni gli strumenti necessari per rimanere sicure, anche mentre il panorama delle minacce informatiche si evolve velocemente.

Patch su grande scala con Codex Security

Da quando Codex Security è entrato in preview di ricerca nel mese di marzo, ha analizzato più di 30 milioni di commits in oltre 30,000 codebase; i revisori umani hanno marcato manualmente più di 70,000 vulnerabilità come corrette, mentre oltre 500,000 sono state automaticamente classificate come corrette.

Questo è lo scenario su cui la correzione software deve ora operare.

Nel plugin Codex Security è integrata una semplice premessa: posizionare l'equivalente di un ingegnere della sicurezza accanto a ogni software developer, integrando direttamente il Codex. Invece di solo generare allerte, Codex Security conoscerà il codice della squadra sua modello di minaccia (o genereranno in assenza), identificherà vulnerabilità plausibili, determinerà se il codice interessato è raggiungibile, raccoglierà prove per validare, svilupperà fix mirati e verificherà i risultati. La supervisione umana rimane in carico per decidere quali vulnerabilità verificare, quali modifiche applicare e cosa condividere esternamente.

Aggiornamento di GPT-5.5-Cyber: combinazione tra permissività e capacità

OpenAI lancia un aggiornamento del modello GPT-5.5-Cyber, realizzato per essere più permissivo e più potente per attività avanzate autorizzate in cybersecurity.

L’anteprima iniziale di GPT-5.5-Cyber era focalizzata a ridurre refusi non necessari in workflow specializzati. Questo aggiornamento va oltre. Si tratta del modello più avanzato di OpenAI per la scoperta e la patching di vulnerabilità software, mantenendo però l'intelligenza di base e la capacità di lavorare su compiti lunghi e complessi tipiche di GPT-5.5.

Il modello è in grado di condurre analisi più approfondite su grandi codebase: identificazione di componenti rilevanti per la sicurezza, tracciamento della raggiungibilità del codice vulnerabile, validazione di probabili problemi in ambienti controllati, sviluppo e test delle patch, e preparazione delle prove per la valutazione da parte umana. L'obiettivo è supportare gli sforzi dei difensori di sicurezza nel mondo dell'informatica.