Daybreak: Инструменты для обеспечения безопасности каждой организации в мире | OpenAI

Новые инструменты, партнерские отношения и полная версия GPT-5.5-Cyber позволят перейти от простого обнаружения уязвимостей к ускорению сквозной автоматизации установки патчей.

• Киберзащита на переломном этапе
• От обнаружения уязвимостей до устранения проблем с помощью Codex Security.
• Обновление GPT-5.5-Cyber: возможность сопряжения с разрешительным режимом.
• Работа с экосистемой безопасности
• Patch the Planet: внедрение исправлений в проекты с открытым исходным кодом.
• Защита критически важной инфраструктуры и чувствительных систем.
• Что будет дальше?

Оглавление

• Киберзащита на переломном этапе
• От обнаружения уязвимостей до устранения проблем с помощью Codex Security.
• Обновление GPT-5.5-Cyber: возможность сопряжения с разрешительным режимом.
• Работа с экосистемой безопасности
• Patch the Planet: внедрение исправлений в проекты с открытым исходным кодом.
• Защита критически важной инфраструктуры и чувствительных систем.
• Что будет дальше?

Мы расширяем возможности Daybreak , чтобы сделать процесс обновления уязвимого программного обеспечения доступным для всех пользователей на машинной скорости. Например, мы применили наши модели для обнаружения и генерации патчей для критических уязвимостей в основных браузерах, сетевой инфраструктуре и операционных системах, таких как FreeBSD и ядро Linux. Для масштабирования влияния этих возможностей:

• Codex Security: Мы выпускаем обновление для плагина Codex Security , в котором реализованы знания, полученные в ходе внутреннего и клиентского использования наших моделей, в решении, ускоряющем процесс обнаружения и устранения уязвимостей в существующих системах, а также автоматически предотвращающем попадание новых уязвимостей в рабочую среду.
• GPT-5.5-Cyber: После первоначального предварительного тестирования только в разрешительном режиме мы запускаем полную версию GPT-5.5-Cyber в рамках нашей продолжающейся ограниченной программы выпуска для доверенных защитников. Эта модель устанавливает новый рекорд производительности на CyberGym, достигая 85,6% по сравнению с 81,8% для GPT-5.5.
• Партнерская программа Daybreak Cyber : Предоставляет партнерам в сфере безопасности возможность масштабировать преимущества для большего числа организаций, используя наши наиболее эффективные модели с доверенным доступом к их продуктам и услугам.
• Patch the Planet : инициатива, основанная совместно с Trail of Bits в сотрудничестве с исследователями и разработчиками из HackerOne, Калифорния, с целью помочь широко используемым проектам с открытым исходным кодом перейти от выявления проблем к их устранению.
  • Более 30 проектов с открытым исходным кодом подтвердили свое участие, среди первоначальных участников — cURL, Go, Python, Sigstore и pyca/cryptography.
  • В рамках проекта Patch the Planet мы работаем с исследователями, специалистами по техническому обслуживанию, предприятиями и партнерами, чтобы предоставить защитникам мощные возможности в области кибербезопасности, обеспечив им соответствующий доступ, управление и человеческий контроль. Узнайте об этом от Клинта и Дэна здесь (откроется в новом окне) .

Киберзащита на переломном этапе

Искусственный интеллект изменил физику кибербезопасности. Передовые модели ИИ все больше ускоряют обнаружение уязвимостей. Исторически узким местом было обнаружение уязвимостей, но теперь защитники перегружены количеством обнаруженных уязвимостей. Вместо этого узким местом стало устранение уязвимостей.

В течение многих лет обнаружение серьезных уязвимостей требовало редких экспертных знаний, времени и глубокого знания сложных систем. Теперь же модели позволяют анализировать большие кодовые базы, строить рассуждения о путях атак, проверять гипотезы и выявлять проблемы безопасности, которые в противном случае могли бы остаться скрытыми. Специалистам по защите абсолютно необходим доступ к этим возможностям, а также инструменты для устранения обнаруженных уязвимостей до того, как это сделают злоумышленники.

Сами по себе отчеты об уязвимостях никого не защищают. Ценность заключается в подтверждении проблемы, понимании ее влияния, разработке и тестировании исправления, координации раскрытия информации и оказании помощи командам во внедрении исправления. Мы инвестируем средства совместно с нашими партнерами в улучшение этих последних шагов, чтобы ускорить работу защитников и преобразовать возможности моделирования в реальное снижение рисков.

Передовые средства защиты не должны быть сосредоточены в руках немногих. Программное обеспечение затрагивает все аспекты жизни, от критической инфраструктуры до бизнес-приложений и государственных сетей. Поскольку ИИ меняет темпы обнаружения уязвимостей, защитникам во всем мире необходим демократизированный доступ к этим моделям, чтобы находить, исправлять и защищать свою инфраструктуру до того, как злоумышленники смогут выявить и использовать эти недостатки.

Daybreak объединяет передовые возможности кибербезопасности: модели OpenAI, Trusted Access for Cyber, рабочие процессы Codex Security и партнеров по экосистеме, чтобы помочь сертифицированным специалистам по защите проверять уязвимости, определять приоритеты рисков, создавать и тестировать исправления, а также получать доказательства в рамках существующих рабочих процессов безопасности и разработки. Наша цель — предоставить организациям инструменты, необходимые для обеспечения безопасности даже в условиях постоянно ускоряющегося роста киберугроз.

От обнаружения уязвимостей до устранения проблем с помощью Codex Security.

С момента запуска облачной платформы Codex Security в тестовом режиме в марте, было просканировано более 30 миллионов коммитов в более чем 30 000 кодовых базах; эксперты вручную отметили более 70 000 обнаруженных проблем как исправленные, а более 500 000 проблем были автоматически признаны исправленными.

Именно в таком масштабе теперь необходимо проводить обновление программного обеспечения.

Мы создали Codex Security, основываясь на простой предпосылке: разместить рядом с каждым разработчиком программного обеспечения специалиста по безопасности, интегрировав его непосредственно в Codex. Вместо простого генерирования оповещений, Codex Security будет анализировать код вашей команды и его модель угроз (или генерировать её, если она отсутствует), выявлять вероятные уязвимости, определять, доступен ли затронутый код, собирать доказательства для проведения проверки, разрабатывать целевой патч и проверять результат. Люди сохраняют контроль над тем, какие результаты исследовать, какие изменения внести и какую информацию предоставить.

Сегодня мы выпускаем обновление для плагина Codex Security , которое позволяет создавать готовые рабочие процессы защиты. Разработчики могут запускать глубокое сканирование или анализировать последние изменения, генерировать отчеты с указанием степени серьезности, затронутых участков кода, доказательств проверки и рекомендаций по устранению проблем, отслеживать пути атак, создавать модели угроз, проверять результаты и создавать патчи для конкретных кодовых баз для анализа.

Настройте сканирование, чтобы охватить весь код, его подмножество или конкретное изменение или коммит.

Плагин также может сортировать и проверять существующие результаты сканирования, уведомления, отчеты по программам вознаграждения за обнаружение ошибок или системы обработки заявок, а затем автоматизировать генерацию патчей в больших масштабах для быстрого закрытия накопившихся уязвимостей. После завершения сканирования Codex Security может экспортировать данные в существующую систему управления уязвимостями или интегрировать их в инструменты с SARIF-файлами, запросами CodeQL и многим другим. Плагин делает эти возможности гораздо более доступными для поддержки автоматизированных конвейеров с помощью Codex CLI или интеграции в рабочие процессы разработчиков в приложении Codex.

Обновление GPT-5.5-Cyber: возможность сопряжения с разрешительным режимом.

Мы выпускаем обновление для GPT-5.5-Cyber, нашей модели, которая является более гибкой и обладает большими возможностями для выполнения сложных, авторизованных работ в области кибербезопасности.

Первоначальная версия GPT-5.5-Cyber была разработана в первую очередь для уменьшения количества ненужных отказов в специализированных рабочих процессах. Это обновление идет еще дальше. Это наша самая мощная модель для поиска и устранения уязвимостей программного обеспечения, сохраняющая при этом универсальные возможности GPT-5.5 и способность работать с длительными и сложными задачами.

Данная модель позволяет проводить углубленный анализ больших кодовых баз: выявлять компоненты, имеющие отношение к безопасности, отслеживать доступность уязвимого кода, проверять вероятные проблемы в контролируемых средах, разрабатывать и тестировать патчи, а также подготавливать доказательства для проверки специалистами. Цель состоит в том, чтобы помочь специалистам по защите пройти полный цикл устранения уязвимостей, а не просто получить больше результатов.

В тесте CyberGym, который оценивает способность агента воспроизводить известные уязвимости в программных средах, обновленная версия GPT-5.5-Cyber достигла 85,6% в оценках с использованием одной модели, по сравнению с 81,8% для GPT-5.5. Это самый высокий показатель CyberGym, который мы зафиксировали в тестах с использованием одной модели.

GPT-5.5-Cyber также превзошла GPT-5.5 в двух сложных реальных тестах безопасности: 39,5% против 25,95% в ExploitGym, который проверяет, могут ли агенты превратить известные уязвимости в работающие эксплойты, обеспечивающие несанкционированное выполнение кода. В SEC-bench Pro, который оценивает обнаружение уязвимостей в долгосрочной перспективе и генерацию прототипов для сложных программных целей, GPT-5.5-Cyber достигла 69,8%, по сравнению с 63,1% для GPT-5.5.

Контрольные показатели — это лишь часть истории. На практике важно, может ли модель обнаруживать реальные уязвимости, отличать проблемы, требующие решения, от шума и помогать специалистам по защите безопасно внедрять исправления. Мы продолжаем оценивать производительность модели на сложных репозиториях и в реальных рабочих процессах по устранению уязвимостей по мере завершения скоординированного раскрытия информации.

Мы ведем постоянный диалог с правительством США о нашем подходе к кибербезопасности, включая сегодняшние заявления и подготовку к предстоящим выпускам моделей. Это включает в себя продолжение сотрудничества с Центром стандартов и инноваций в области ИИ (CAISI) по предварительному тестированию GPT-5.5 и 5.5-Cyber, а также работу с Управлением национального директора по кибербезопасности (ONCD) и Управлением по научно-технической политике (OSTP) по реализации недавнего указа президента (открывается в новом окне) и связанных с ним отраслевых стандартов.

Для большинства специалистов по кибербезопасности GPT-5.5 с Trusted Access for Cyber и Codex Security остается правильной отправной точкой. GPT-5.5-Cyber предназначен для проверенных специалистов по кибербезопасности, чья авторизованная работа требует наших самых передовых возможностей в области кибербезопасности и более либерального поведения в сочетании с более строгой проверкой, мониторингом, ограниченным контролем и проверкой. В ходе ранней работы Daybreak GPT-5.5 и Codex Security помогли специалистам по кибербезопасности выявлять и подтверждать уязвимости в широко используемых системах, включая Firefox, V8, Safari, OpenBSD, FreeBSD и реализации HTTP/2.

Работа с экосистемой безопасности

В рамках этого расширения мы также запускаем партнерскую программу OpenAI Daybreak Cyber Partner Program для ведущих поставщиков программного обеспечения и услуг в области кибербезопасности. В рамках программы участвующие партнеры могут использовать GPT-5.5 с Trusted Access for Cyber — нашей основной моделью для большинства процессов защиты в сфере кибербезопасности — в продуктах и услугах безопасности, которые они предоставляют клиентам. Это позволяет их клиентам извлекать выгоду из защитных возможностей модели и повышать устойчивость своего программного обеспечения, но при этом прямой доступ к модели остается в руках участвующих партнеров.

Мы также будем сотрудничать с партнерами по программе, чтобы продолжать укреплять меры защиты, мониторинг и стандарты предотвращения злоупотреблений, необходимые для ответственного внедрения этих возможностей в рамках всей системы безопасности. Мы запускаем эту программу с первоначальной группой партнеров и планируем в ближайшие месяцы расширить ее охват на большее количество организаций.

Patch the Planet: внедрение исправлений в проекты с открытым исходным кодом.

Patch the Planet — это инициатива, созданная для того, чтобы помочь разработчикам перейти от обнаружения проблем к их устранению. Основанная совместно с Trail of Bits и в сотрудничестве с HackerOne и Calif, она финансирует экспертов в области безопасности и предоставляет им Codex Security и наши передовые модели для непосредственной работы с разработчиками открытого исходного кода.

Программное обеспечение с открытым исходным кодом лежит в основе продуктов, государственных сервисов, инструментов для разработчиков и критически важной инфраструктуры в различных секторах. Уязвимость в широко используемой сетевой библиотеке может затронуть тысячи нижестоящих систем. Тем не менее, многие из этих проектов поддерживаются очень небольшими командами с ограниченным временем и финансированием. Исследование, проведенное Linux Foundation и Гарвардским университетом (открывается в новом окне), показало, что в 94 процентах широко используемых проектов, которые оно изучало, менее десяти разработчиков отвечали за более чем 90 процентов кода, добавленного за год.

Поскольку ИИ позволяет быстрее находить и устранять больше уязвимостей, он также создает дополнительную работу для сопровождающих, которым приходится просматривать тысячи отчетов, многие из которых представляют собой ложные срабатывания низкого качества. Сопровождающие не должны оставаться с большим количеством отчетов и без дополнительных возможностей для их исправления. Именно поэтому Patch the Planet построен на основе экспертной проверки безопасности, проводимой людьми.

Каждое взаимодействие начинается с консультации между нашими исследователями безопасности и разработчиками, которым они помогают. Разработчики определяют свои приоритеты, предпочтения и установленные процедуры раскрытия информации. Затем исследователи безопасности Patch the Planet управляют работой от начала до конца — проверяют и устраняют дубликаты как уязвимостей, так и исправлений до того, как они попадут к разработчикам, что значительно снижает нагрузку на разработчиков и ускоряет устранение проблем.

Проекты-участники получают ChatGPT Pro, условный доступ к Codex Security и кредиты API для основной разработки, автоматизации процессов сопровождения и выпуска релизов.

Первоначальный пятидневный спринт, охватывающий несколько проектов, выявил сотни проблем для проверки, объединил десятки патчей, и еще больше находится в разработке, а также создал многократно используемые рабочие процессы фаззинга, анализа вариантов, дифференциального тестирования и тестирования на основе спецификаций. Подробнее можно прочитать в блоге Trail of Bits здесь (открывается в новом окне) .

Выявление уязвимостей важно, но именно внедрение исправлений обеспечит защиту всего мира, а для этого необходимы сотрудничество и поддержка сообщества.

Защита критически важной инфраструктуры и чувствительных систем.

Мы также тесно сотрудничаем с правительствами и учреждениями по всему миру, чтобы повысить их возможности в области кибербезопасности и защитить критическую инфраструктуру. Мы тесно сотрудничаем с правительством США и соответствующими федеральными агентствами в рамках подготовки к внедрению все более совершенных моделей искусственного интеллекта в сфере кибербезопасности. За последний месяц мы уже установили партнерские отношения в рамках программы Trusted Access for Cyber с Австралией, Канадой, Францией, Германией, Японией, Республикой Корея и такими институтами ЕС, как ENISA. У нас также развивается и укрепляется партнерство с правительством Великобритании в области кибербезопасности, тестирования и оценки, а также в других областях, представляющих взаимный интерес.

Мы планируем напрямую сотрудничать с соответствующими операторами критической инфраструктуры, включая правительственные сети, для разработки мер защиты, адаптированных к системам, которыми они управляют. Основная цель этой работы — сделать передовой искусственный интеллект более полезным для специалистов по защите, одновременно затрудняя злоумышленникам причинение реального вреда.

Мы также будем сотрудничать с корпоративными клиентами и доверенными партнерами для учета более широкого контекста и идентификаторов конкретных систем, которыми они управляют или которые защищают, укрепляя наши меры кибербезопасности и способность предотвращать вредоносную кибердеятельность, затрагивающую критически важные сервисы.

Что будет дальше?

Daybreak объединяет модели, Codex Security, Patch the Planet, экспертов-исследователей, специалистов по техническому обслуживанию, партнеров по безопасности, операторов критической инфраструктуры и доверенные средства контроля доступа, чтобы помочь специалистам по защите справиться с этой задачей.

Организации государственного и частного секторов могут сотрудничать с OpenAI Daybreak для выявления, проверки и устранения уязвимостей в программном обеспечении, которое они разрабатывают и на которое полагаются. Разработчики и сопровождающие могут запускать Codex Security на принадлежащем им коде, анализировать результаты и помогать внедрять исправления. Партнеры и специалисты по безопасности могут использовать наши передовые модели для усиления своих инструментов защиты и быстрого внедрения этих возможностей в большем количестве организаций.

Цель состоит в том, чтобы выйти за рамки использования моделей для выявления новых уязвимостей и двигаться к миру более безопасного программного обеспечения и киберустойчивости.

Источник: openai.com