OpenAI悄悄上线Daybreak,用AI把漏洞发现和补丁验证打包搞定
OpenAI这周干了件挺有意思的事——推出一个叫Daybreak的新项目,专门帮企业用AI找漏洞、验证补丁。说白了,就是让AI扮演”超级安全研究员”的角色,在代码里翻箱倒柜找安全隐患,顺带告诉你补丁好不好使。
这个东西的核心逻辑其实不复杂:把OpenAI现有的前沿模型能力、Codex Security这个代码智能体工具、再加上一堆安全合作伙伴的生态整合在一起。防御方可以在日常开发流程里直接用上安全代码审查、威胁建模、补丁验证、依赖风险分析、检测和修复建议——软件从写出来的那一刻就变得更结实。
OpenAI的原话是这么说的:”Daybreak把OpenAI模型的智能、Codex作为智能体框架的可扩展性、以及我们在安全飞轮上的合作伙伴整合在一起,让全世界变得更安全。”
三层模型架构,分工明确
Daybreak不是拿一个通用模型硬上,而是搞了三层架构,各有各的用处:
- GPT-5.5:标准版,带通用护栏,适合一般用途
- GPT-5.5 + Trusted Access for Cyber:经过验证的防御性工作,在授权环境中使用
- GPT-5.5-Cyber:高权限模型,用于红队演练、渗透测试和受控验证
这三层设计其实很聪明——不同安全级别的任务用不同”火力”的模型,既保证能力够用,又不至于让高权限模型被滥用。OpenAI这次还拉上了一堆巨头一起玩:Akamai、Cisco、Cloudflare、CrowdStrike、Fortinet、Oracle、Palo Alto Networks、Zscaler,都在Trusted Access for Cyber框架下接入这些能力。
AI找漏洞太快,补丁跟不上了
这里有个真实的矛盾:AI工具把发现漏洞的时间压缩到了以前根本不敢想的程度,但补丁的开发和验证流程还停留在”人类节奏”上。结果就是——漏洞被发现的速度远超补丁发布的速度。
HackerOne今年3月干脆暂停了互联网漏洞赏金计划,理由就是AI辅助研究导致新漏洞报告量暴增,开源维护者们根本处理不过来。这还带来一个副作用叫”分流疲劳”——维护者要在一大堆漏洞报告里翻找,其中有些报告看着像模像样,其实是AI模型编出来的幻觉。
安全研究员Himanshu Anand上周写了篇文章,标题很犀利:”90天披露政策已死”。他的论点是:当10个互不相干的研究员在6周内找到同一个bug,而AI可以在30分钟内把补丁差异变成可用漏洞利用代码,那个90天窗口期到底在保护什么?答案是:什么也保护不了。
Daybreak目前还是限量访问状态,OpenAI建议有需求的组织申请漏洞扫描或联系销售团队。这个克制挺明智的——这种能力的扩散速度如果失控,后果可能比漏洞本身还麻烦。