OpenAI Daybreak: arriva GPT-5.5-Cyber, Codex Security e Patch the Planet per una cybersecurity democratizzata

GPT-5.5-Cyber: Punteggi benchmark e classificazione delle capacità

OpenAI ha rilasciato la versione completa di GPT-5.5-Cyber, inizialmente disponibile solo in anteprima limitata, attraverso un accesso controllato riservato a difensori fidati . Il modello ha registrato progressi significativi rispetto al GPT-5.5 standard nei benchmark specifici per la cybersecurity:

• CyberGym: 85,6% — un nuovo stato dell'arte, rispetto all'81,8% del GPT-5.5 standard e al 79,0% del GPT-5.4 .
• Exploit Gym: 39,5% contro il 25,95% della versione base .
• SEC-Bench Pro: 69,8% contro il 63,1% del GPT-5.5 .
• Valutazione AISI (UK AI Safety Institute) per compiti di livello esperto: GPT-5.5 ha raggiunto un tasso di successo medio del 71,4% (±8,0%), rispetto al 68,6% del modello precedente .
• Benchmark generali di GPT-5.5 (contesto rilevante): 84,9% su GDPval (lavoro di conoscenza agentico in 44 occupazioni), 78,7% su OSWorld-Verified e 82,7% su Terminal-Bench 2.0 .

Secondo il Preparedness Framework di OpenAI, GPT-5.5 ha ricevuto una classificazione di capacità cybersecurity 'Alta', rimanendo al di sotto della soglia 'Critica', definita come la capacità di sviluppare exploit zero-day in modo autonomo senza aiuto umano . In una misurazione specifica, GPT-5.5 (e la variante Cyber) ha completato una simulazione di attacco di rete in 32 fasi, risultando essere solo il secondo modello AI a riuscirci, dopo Mythos di Anthropic .

Plugin Codex Security

OpenAI ha lanciato un plugin Codex Security aggiornato che integra la scoperta, la validazione e la correzione delle vulnerabilità direttamente nel flusso di lavoro dello sviluppatore all'interno di Codex . Il plugin è progettato per andare oltre l'analisi statica: è in grado di costruire o inferire un modello di minaccia, identificare vulnerabilità plausibili, determinare se il codice interessato è raggiungibile, raccogliere prove di validazione, sviluppare patch mirate e verificare il risultato . OpenAI afferma che il plugin incorpora le lezioni apprese dall'uso interno e da parte dei clienti per accelerare la ricerca e la correzione delle vulnerabilità nei sistemi esistenti, oltre ad aiutare a prevenirne di nuove prima che arrivino in produzione . Dalla sua anteprima di ricerca di marzo 2026, il plugin Codex Security ha già scansionato oltre 30 milioni di commit in più di 30.000 codebase, con revisori umani che hanno contrassegnato manualmente oltre 70.000 risultati .

Programma open-source 'Patch the Planet' con Trail of Bits

Patch the Planet è l'iniziativa open-source centrale nell'espansione Daybreak, sviluppata in collaborazione con Trail of Bits, HackerOne e Calif . OpenAI lo descrive come 'uno sforzo per aiutare i manutentori open-source a passare dai risultati di sicurezza alle correzioni unite' con la revisione umana al centro . Il programma finanzia ingegneri della sicurezza dedicati di Trail of Bits che lavorano a tempo pieno con Codex e GPT-5.5-Cyber su progetti open-source, con l'obiettivo non solo di trovare bug, ma anche di scrivere e inviare patch unite .

Risultati iniziali (Prima settimana)

Trail of Bits ha organizzato uno sprint di apertura di cinque giorni con 25 ingegneri che hanno lavorato direttamente con i manutentori open-source . Risultati su 19 progetti (con oltre 30 che hanno promesso la partecipazione) :

• 64 pull request inviate
• 51 issue segnalati (molti altri in fase di divulgazione coordinata)
• Centinaia di bug identificati
• 37 correzioni unite nelle codebase

Esempi notevoli di risultati includono 8 proof-of-concept di pointer-leak nel kernel Linux, 24 vettori di escalation dei privilegi locali in utility di sistema, oltre 10 vulnerabilità Safari sfruttabili, una CVE di Firefox WebAssembly (CVE-2026-8390) corretta prima di Pwn2Own, e quattro delle sei CVE di dnsmasq segnalate in modo indipendente prima della loro correzione pubblica . I progetti coperti includevano cURL, NATS, pyca/cryptography, Sigstore, aiohttp, il progetto Go, freenginx, Python e python.org, urllib3, PyPI, SimpleX, Valkey e RustCrypt . Gli ingegneri di Trail of Bits hanno utilizzato esecuzioni ripetute di Codex /goal con GPT-5.5-Cyber per costruire un intero laboratorio di fuzzing che copre dozzine di punti di ingresso, piattaforme e nuovi seed di test in meno di una settimana — un compito che, secondo le loro stime, normalmente richiederebbe almeno diverse settimane .

I manutentori partecipanti ricevono anche sei mesi di ChatGPT Pro da OpenAI, incluso l'accesso condizionale a Codex Security per codifica, automazioni e flussi di lavoro .

Daybreak Cyber Partner Program

OpenAI ha lanciato il Daybreak Cyber Partner Program, un'iniziativa su invito che offre ai vendor di sicurezza l'accesso alle capacità cyber all'avanguardia di OpenAI (incluso GPT-5.5 con Trusted Access) per integrarle nei propri prodotti e servizi . Il programma mira a 'alimentare prodotti costruiti sulle nostre migliori capacità cyber per le principali aziende di sicurezza per proteggere il software del mondo' .

Partner di lancio confermati

• Partner di lancio iniziali del programma (secondo SiliconANGLE): Accenture, Cisco, CrowdStrike, IBM, Okta, Palo Alto Networks, Wiz .
• Partecipanti aggiuntivi annunciati (da comunicati stampa individuali): Proofpoint , NCC Group , Darktrace , Tenable , Cato Networks , TrendAI .

Un elenco più ampio di partner precedenti, risalente al lancio di Daybreak del maggio 2026, includeva anche Cloudflare, Oracle, Zscaler, Akamai, Fortinet, Intel, Qualys, Rapid7, Trail of Bits, SpecterOps, SentinelOne, Netskope, Snyk, Gen Digital, Semgrep e Socket .

Confronto competitivo: OpenAI Daybreak vs. Anthropic Project Glasswing e Mythos AI

L'espansione posiziona direttamente Daybreak di OpenAI contro Project Glasswing di Anthropic e il suo modello Mythos AI. Sulla base delle prove disponibili, i due sforzi differiscono nella strategia e presentano un panorama competitivo fluido:

• Leadership nei benchmark varia a seconda del test: Nella valutazione indipendente AISI Expert-level, GPT-5.5 ha ottenuto un tasso di successo del 71,4%, mentre il risultato del modello Anthropic più direttamente confrontabile citato è del 68,6%, suggerendo che GPT-5.5 è leader in quel benchmark governativo specifico . Su CyberGym, l'85,6% di GPT-5.5-Cyber è segnalato come un nuovo stato dell'arte . Tuttavia, Mythos di Anthropic è stato il primo AI a completare una simulazione di attacco di rete end-to-end in 32 fasi, con GPT-5.5-Cyber segnalato come solo il secondo .
• Differenze nel tetto di capacità: Il GPT-5.5 di OpenAI è esplicitamente al di sotto della soglia 'Critica' per lo sviluppo autonomo di exploit zero-day, mentre Mythos di Anthropic sembra essere ancora avanti in determinate attività di catene di exploit autonome .
• Divergenza strategica: L'approccio di OpenAI si concentra su un'ampia strategia di ecosistema: un programma di patching open-source (Patch the Planet), un'ampia rete di partner di sicurezza e un plugin Codex Security integrato per sviluppatori per democratizzare la sicurezza difensiva, con OpenAI che inquadra lo sforzo come 'proteggere ogni organizzazione nel mondo' . Project Glasswing e Mythos di Anthropic sono posizionati come più strettamente focalizzati sul red-teaming offensivo-difensivo d'élite e sulla costruzione di catene di exploit autonome, implementati attraverso programmi di accesso più ristretti .

Nel complesso, le due aziende si alternano al comando in diversi benchmark e domini di capacità. L'enfasi di OpenAI sulla democratizzazione — patching open-source, ampie integrazioni con partner e strumenti integrati per sviluppatori — contrasta con la strategia di implementazione più controllata e focalizzata sull'élite di Anthropic. Entrambi i modelli rimangono all'avanguardia nei rispettivi punti di forza e le dinamiche competitive sono destinate a continuare ad evolversi.