OpenAI wdraża nową broń w cyberbezpieczeństwie: model GPT-5.5-Cyber, łatki dla open source i program partnerski

• CyberGym: 85,6% — nowy stan wiedzy, w porównaniu do 81,8% dla standardowego GPT-5.5 i 79,0% dla GPT-5.4 .
• Exploit Gym: 39,5% wobec 25,95% dla linii bazowej .
• SEC-Bench Pro: 69,8% wobec 63,1% dla GPT-5.5 .
• Zadania eksperckie AISI (UK AI Safety Institute): GPT-5.5 osiągnął średni wskaźnik zaliczeń na poziomie 71,4% (±8,0%), w porównaniu do 68,6% dla poprzedniego modelu .
• Ogólne testy GPT-5.5 (istotny kontekst): 84,9% w GDPval (praca agenta w 44 zawodach), 78,7% w OSWorld-Verified i 82,7% w Terminal-Bench 2.0 .

Zgodnie z Preparedness Framework OpenAI, GPT-5.5 otrzymał „Wysoką” ocenę możliwości cybernetycznych, co oznacza, że pozostaje poniżej progu „Krytycznego” — zdefiniowanego jako zdolność do samodzielnego opracowywania exploitów dnia zerowego bez pomocy człowieka . W jednym z pomiarów GPT-5.5 (i wariant Cyber) ukończył 32-etapową symulację ataku sieciowego, co jest odnotowane jako dopiero drugi przypadek AI, któremu się to udało, po Anthropic Mythos .

Wtyczka Codex Security

OpenAI uruchomiło zaktualizowaną wtyczkę Codex Security, która osadza wykrywanie, walidację i łatanie luk bezpośrednio w przepływie pracy programisty w środowisku Codex . Wtyczka ma wykraczać poza statyczną analizę: może zbudować lub wywnioskować model zagrożeń, zidentyfikować prawdopodobne luki, określić, czy dotknięty kod jest osiągalny, zebrać dowody walidacyjne, opracować ukierunkowane łatki i zweryfikować wynik . OpenAI twierdzi, że wtyczka wykorzystuje wnioski z użytkowania wewnętrznego i przez klientów, aby przyspieszyć znajdowanie i naprawianie luk w istniejących systemach, a także pomóc zapobiegać pojawianiu się nowych w produkcji . Od czasu zapowiedzi badawczej w marcu 2026 r. wtyczka Codex Security przeskanowała już ponad 30 milionów commitów w ponad 30 000 bazach kodu, a recenzenci ręcznie oznaczyli ponad 70 000 znalezisk .

Program open source „Patch the Planet” z firmą Trail of Bits

Patch the Planet to kluczowa inicjatywa open source w ramach rozszerzenia Daybreak, zbudowana we współpracy z Trail of Bits, HackerOne i Calif . OpenAI opisuje to jako „wysiłek, aby pomóc opiekunom open source przejść od znalezisk bezpieczeństwa do scalonych poprawek” z recenzją człowieka w centrum . Program finansuje dedykowanych inżynierów bezpieczeństwa z Trail of Bits, którzy pracują na pełny etat z Codex i GPT-5.5-Cyber nad projektami open source, z celem nie tylko znajdowania błędów, ale także pisania i przesyłania scalonych poprawek .

Wstępne wyniki (pierwszy tydzień)

Trail of Bits zorganizował pięciodniowy sprint otwierający z 25 inżynierami pracującymi bezpośrednio z opiekunami open source . Wyniki w 19 projektach (ponad 30 zadeklarowało udział) :

• Przesłano 64 pull requesty
• Zgłoszono 51 problemów (wiele więcej w ramach skoordynowanego ujawniania)
• Zidentyfikowano setki błędów
• Scalono 37 poprawek w bazach kodu

Godne uwagi przykłady znalezisk obejmują 8 dowodów koncepcji wycieku wskaźników w jądrze Linuksa, 24 wektory eskalacji uprawnień lokalnych w narzędziach systemowych, ponad 10 możliwych do wykorzystania luk w Safari, CVE w WebAssembly w Firefox (CVE-2026-8390) załatane przed Pwn2Own oraz cztery z sześciu CVE w dnsmasq niezależnie oznaczone przed publiczną poprawką . Objęte projekty to m.in. cURL, NATS, pyca/cryptography, Sigstore, aiohttp, projekt Go, freenginx, Python i python.org, urllib3, PyPI, SimpleX, Valkey i RustCrypt . Inżynierowie Trail of Bits użyli powtarzanych sesji Codex /goal z GPT-5.5-Cyber, aby zbudować całe laboratorium fuzzingowe obejmujące dziesiątki punktów wejścia, platform i nowatorskich ziaren testowych w mniej niż tydzień — zadanie, które ich zdaniem normalnie zajęłoby co najmniej kilka tygodni .

Uczestniczący opiekunowie otrzymują również sześć miesięcy ChatGPT Pro od OpenAI, w tym warunkowy dostęp do Codex Security do kodowania, automatyzacji i przepływów pracy .

Daybreak Cyber Partner Program

OpenAI uruchomiło Daybreak Cyber Partner Program, inicjatywę na zaproszenie, dającą dostawcom zabezpieczeń dostęp do najnowocześniejszych możliwości cybernetycznych OpenAI (w tym GPT-5.5 z Trusted Access) w celu osadzenia ich we własnych produktach i usługach . Program ma na celu „napędzanie produktów zbudowanych na naszych najlepszych możliwościach cybernetycznych dla wiodących firm ochroniarskich, aby zabezpieczyć oprogramowanie na świecie” .

Potwierdzeni partnerzy uruchomienia

• Wstępni partnerzy uruchomienia programu (wg SiliconANGLE): Accenture, Cisco, CrowdStrike, IBM, Okta, Palo Alto Networks, Wiz .
• Dodatkowi ogłoszeni uczestnicy (z indywidualnych komunikatów prasowych): Proofpoint , NCC Group , Darktrace , Tenable , Cato Networks , TrendAI .

Szersza wcześniejsza lista partnerów z uruchomienia Daybreak w maju 2026 r. obejmowała również Cloudflare, Oracle, Zscaler, Akamai, Fortinet, Intel, Qualys, Rapid7, Trail of Bits, SpecterOps, SentinelOne, Netskope, Snyk, Gen Digital, Semgrep i Socket .

Porównanie konkurencyjne: OpenAI Daybreak vs. Anthropic Project Glasswing i Mythos AI

Rozszerzenie bezpośrednio pozycjonuje Daybreak OpenAI wobec projektu Anthropic Project Glasswing i jego modelu Mythos AI. Na podstawie dostępnych dowodów oba podejścia różnią się strategią i przedstawiają płynny krajobraz konkurencyjny:

• Przywództwo w testach porównawczych różni się w zależności od testu: W niezależnej ocenie eksperckiej AISI, GPT-5.5 uzyskał wskaźnik zdawalności 71,4%, podczas gdy najbardziej porównywalny wynik modelu Anthropic wynosi 68,6%, co sugeruje, że GPT-5.5 prowadzi w tym konkretnym rządowym teście . W CyberGym, wynik GPT-5.5-Cyber wynoszący 85,6% jest określany jako nowy stan wiedzy . Jednak Mythos od Anthropic był pierwszym AI, który ukończył 32-etapową kompleksową symulację ataku sieciowego, a GPT-5.5-Cyber jest określany jako dopiero drugi .
• Różnice w pułapie możliwości: GPT-5.5 OpenAI znajduje się wyraźnie poniżej progu „Krytycznego” dla autonomicznego opracowywania exploitów dnia zerowego, podczas gdy Mythos od Anthropic podobno pozostaje liderem w niektórych autonomicznych zadaniach łańcucha exploitów .
• Rozbieżność strategiczna: Podejście OpenAI koncentruje się na grze w szeroki ekosystem: program łatania open source (Patch the Planet), duża sieć partnerów bezpieczeństwa i osadzona w narzędziach programisty wtyczka Codex Security w celu demokratyzacji bezpieczeństwa defensywnego, a OpenAI określa ten wysiłek jako „zabezpieczanie każdej organizacji na świecie” . Project Glasswing i Mythos od Anthropic są pozycjonowane jako bardziej skoncentrowane na elitarnym red teamingu ofensywno-defensywnym i autonomicznej konstrukcji łańcucha exploitów, wdrażane poprzez bardziej restrykcyjne programy dostępu .

Ogólnie rzecz biorąc, obie firmy wymieniają się prowadzeniem w różnych testach porównawczych i domenach możliwości. Nacisk OpenAI na demokratyzację — łatanie open source, szerokie integracje partnerskie i narzędzia osadzone w środowisku programisty — kontrastuje z bardziej kontrolowaną, elitarną strategią wdrażania Anthropic. Oba modele pozostają w czołówce w swoich obszarach siły, a dynamika konkurencyjna będzie prawdopodobnie ewoluować.