OpenAI新王炸：AI自动修漏洞时代来了

OpenAI这波，是冲着漏洞去的。

他们发布了Daybreak计划，核心就一件事：用AI帮你找漏洞、修漏洞，而且是机器速度。

两个王炸产品

Codex Security：一个能自动发现漏洞、生成补丁、验证修复的插件。不是给你报个警就完事，是能帮你把漏洞修了。

数据很吓人：上线以来已经扫描了3000万次提交，覆盖3万多个代码库。人工标记修复的7万多条，自动判定修复的50多万条。

GPT-5.5-Cyber：专门为网络安全优化的模型。在CyberGym测试集上达到85.6%，比GPT-5.5的81.8%又高了一截。

这个模型的特点是：既强大，又"听话"。不会动不动就拒绝你的请求，能真正帮安全人员干活。

为什么这事重要

AI改变网络安全的物理规律了。

以前，找漏洞是瓶颈。需要稀有专家、大量时间、深度熟悉系统。现在，大模型能导航大型代码库、推理攻击路径、验证假设、发现隐藏的安全问题。

但新的瓶颈出现了：漏洞太多，修不过来。

这就是Daybreak要解决的问题。不是帮你找更多漏洞，是帮你把找到的漏洞修掉——在攻击者发现之前。

Patch the Planet：开源项目的福音

OpenAI还搞了个"Patch the Planet"计划，和Trail of Bits、HackerOne合作，帮开源项目修漏洞。

已经有30多个开源项目参与，包括cURL、Go、Python、Sigstore这些基础设施级别的项目。

这个思路很对。开源软件无处不在，但维护者资源有限。AI能帮他们发现和修复漏洞，对整个软件生态都是好事。

我的看法

OpenAI这次的方向，我挺认可的。

第一，AI安全工具不应该只报漏洞，应该能修漏洞。光发现问题不解决问题，只会让安全团队更焦虑。

第二，把能力开放给更多组织，而不是集中在少数大公司手里。网络安全是公共品，防御能力应该民主化。

第三，和开源社区合作，这是正道。开源软件是数字基础设施，帮它们修漏洞，受益的是所有人。

当然，AI修漏洞会不会引入新漏洞？这个问题OpenAI也意识到了，所以他们强调"人类保持控制权"——AI生成补丁，人审核后再应用。

这个边界把握得还算清醒。

来源：OpenAI官方博客