соно
Читать нас в ТГ
Радар 2 мин чтения

OpenAI запустила Daybreak для поиска и исправления уязвимостей

OpenAI представила Daybreak, Codex Security, GPT-5.5-Cyber и Patch the Planet для перехода от найденных багов к патчам

Зачем тебе Если у тебя есть backlog по security-алертам, смотри не на еще один сканер, а на связку: доказательство уязвимости, патч и проверка.
Первоисточник OpenAI News

OpenAI представила Daybreak - набор инструментов и программ для поиска, проверки и исправления уязвимостей в коде. Главная ставка не на еще один список проблем, а на доведение найденной уязвимости до патча.

Что произошло

В Daybreak вошли GPT-5.5-Cyber, Codex Security, партнерская программа для компаний по кибербезопасности и инициатива Patch the Planet для open-source проектов. OpenAI пишет, что Codex Security умеет строить threat model (карту возможных атак), искать достижимые уязвимости, собирать доказательства, готовить патч и проверять исправление.

Patch the Planet уже тестировали с Trail of Bits, HackerOne и мейнтейнерами более чем 30 open-source проектов, включая cURL, Go, Python, Sigstore и pyca/cryptography.

Зачем тебе

Если у тебя есть backlog по security-алертам, смотри не на еще один сканер, а на связку: доказательство уязвимости, патч и проверка.

Для небольшой команды главный выигрыш не в том, что AI найдет больше проблем. Выигрыш в том, что он поможет закрывать старые алерты, где обычно не хватает времени: понять, достижима ли проблема, подготовить фикс и прогнать проверку.

Почему важно

Большая часть security-инструментов создает очередь задач для людей. Daybreak показывает другой вектор: инструмент должен не только найти риск, но и помочь довести его до исправления. Это особенно заметно для open-source, где у мейнтейнеров часто нет отдельной security-команды.

Кому полезно

  • фаундерам технических продуктов без выделенной security-команды;
  • разработчикам, которые отвечают за зависимости и уязвимости в репозитории;
  • security-инженерам, которым нужно быстрее разбирать очередь алертов;
  • командам, которые уже используют Codex в разработке.

Что проверить

  • какие security-алерты в репозитории висят дольше месяца;
  • можно ли для них получить не только описание риска, но и патч;
  • кто должен ревьюить AI-исправления перед merge;
  • какие проверки нужно прогонять до деплоя.

Ограничения

AI-патч нельзя считать готовым без ревью. Уязвимости часто завязаны на бизнес-логику, окружение и права доступа, которые модель может не знать. Daybreak полезен как ускоритель разбора и исправления, но финальная ответственность остается на команде.

Первоисточник

OpenAI News: Daybreak: Securing the world.