OpenAI 发布 GPT-5.5-Cyber 与 Codex 安全更新

关键信息

OpenAI 称，Codex Security 已扫描超过 3,000 万个提交、覆盖 3 万多个代码库，其中超过 50 万个发现被自动标记为已修复，另有 7 万个由人工复核确认。GPT-5.5-Cyber 仅向经过验证的防御者开放，并配套验证、监控和护栏；插件则新增全代码库深度扫描、攻击路径分析、SARIF/CodeQL 导出以及批量补丁生成。

资讯摘要

OpenAI 表示，正在通过新版 GPT-5.5-Cyber 和大幅更新的 Codex Security 插件，扩展其 Daybreak 网络安全计划。公司把这次升级描述为对行业变化的回应：真正的瓶颈已经不只是发现漏洞，而是要足够快地修复它们。按照 OpenAI 的说法，更新后的 Codex Security 插件现在覆盖从发现到生成补丁的完整流程，而不再只是停留在检测阶段。该插件最早于 3 月以研究预览形式发布，此后已扫描超过 3,000 万个提交，覆盖 3 万多个代码库。OpenAI 称，系统自动标记了超过 50 万个发现为已修复，另有 7 万个由人工确认。新版工具还可以对整个代码库进行深度扫描、分析攻击路径，并通过 SARIF 文件或 CodeQL 查询把结果导出到现有的漏洞管理系统中。

它也能接收来自其他扫描器或漏洞赏金报告的结果进行分诊，并批量生成补丁，但所有变更仍需人工批准。OpenAI 把 GPT-5.5-Cyber 描述为其用于发现和修补软件缺陷的最强单一模型，并称它在 CyberGym、ExploitGym 和 SEC-bench Pro 等基准上领先。与标准模型不同，GPT-5.5-Cyber 会更少拒绝安全相关请求，但只向经过验证的防御者开放，并配套监控和护栏。OpenAI 还表示，大多数用户应使用带有 Trusted Access for Cyber 的 GPT-5.5，并结合 Codex Security。与此同时，公司正在建立 Daybreak Cyber Partner Program，已有超过 25 家安全公司加入，包括 Cisco、CrowdStrike、Cloudflare、Palo Alto Networks、IBM、Fortinet、Wiz、SentinelOne、Darktrace、Palantir、Accenture、PwC 和 KPMG。OpenAI 还说，正在扩大与澳大利亚、加拿大、法国、德国、日本、韩国、ENISA 和英国政府的合作；在美国，则正配合最近发布的 AI 安全行政命令，并计划与关键基础设施运营商直接协作。

资讯正文

OpenAI 表示，新的 GPT-5.5-Cyber 在网络安全基准测试中表现优于 Anthropic 的 Mythos

要点

- OpenAI 正在借助新工具扩展其 Daybreak 网络安全计划，不再只是识别漏洞，而是进一步自动修复漏洞。

- Codex Security 插件已更新，能够处理直到补丁生成的整个工作流程；而 GPT-5.5-Cyber 网络安全模型在结束预览阶段后也已全面开放。

- 作为一项专门的合作伙伴计划的一部分，OpenAI 正在与 25 家以上安全公司以及多个政府合作，以提升其网络安全能力。

OpenAI 正在通过更新后的 Codex Security 插件、完整的 GPT-5.5-Cyber 模型，以及一个由 25 家以上安全公司和多个政府组成的合作伙伴网络，扩展其 Daybreak 网络安全计划。

Anthropic 最近也提出了类似观点，而 OpenAI 表示赞同。网络安全领域真正的瓶颈，已经从发现漏洞转向实际修补漏洞。为弥合这一差距，OpenAI 正在推出更新后的 Codex Security 插件，使其覆盖从发现到补丁生成的完整流程；同时正式发布 GPT-5.5-Cyber——这是一款专门模型，在安全基准测试中刷新了新高。OpenAI 还启动了一项开源补丁修复计划，以及一个与 25 家以上安全公司合作的合作伙伴项目。

Codex Security 更新把从发现到补丁的流程闭合起来

Codex Security 插件最早于今年 3 月作为研究预览版发布。自那以后，它已扫描了超过 3000 万次提交，覆盖超过 3 万个代码库，OpenAI 表示。其中超过 50 万项发现被自动标记为已修复，另有 7 万项由人工审核人员手动确认。

OpenAI 希望更新后的插件能像一名坐在每位开发者身边的安全工程师一样工作。它会结合威胁模型分析代码，发现缺陷，检查受影响代码是否真的可达，生成有针对性的补丁，并验证结果。

此次更新的新功能包括对整个代码库进行深度扫描、攻击路径分析，以及通过 SARIF 文件或 CodeQL 查询导出到现有漏洞管理系统。该插件还可以对来自其他扫描器或漏洞赏金报告的发现进行分诊，并以批处理模式自动生成补丁。OpenAI 表示，所有变更仍需由人工签字确认。

GPT-5.5-Cyber 只向经过审核的防御者开放

完整版本的 GPT-5.5-Cyber 取代了早前的预览版，后者主要目标是在安全工作流程中减少不必要的拒绝。OpenAI 称，更新后的模型是用于发现和修补软件漏洞的最强单一模型。

OpenAI 表示，GPT-5.5-Cyber 在所有关键网络安全基准测试中都处于领先地位。CyberGym 用于衡量智能体能否在软件环境中复现已知漏洞。ExploitGym 测试智能体是否能将漏洞转化为可工作的利用代码。SEC-bench Pro 评估长期漏洞发现能力。

OpenAI 表示，最新版本的 GPT-5.5-Cyber 故意比标准模型更宽松，拒绝的请求更少。但只有经过验证的防御者才能访问它，而 OpenAI 将这种访问与验证、监控和安全护栏绑定在一起。OpenAI 表示，大多数用户应继续使用 GPT-5.5，并搭配 Trusted Access for Cyber 和 Codex Security。

超过 25 家安全公司和多个政府加入该计划

通过 Daybreak Cyber Partner Program，安全公司可以将带有 Trusted Access for Cyber 的 GPT-5.5 接入自己的产品。合作伙伴包括 Cisco、CrowdStrike、Cloudflare、Palo Alto Networks、IBM、Fortinet、Wiz、SentinelOne、Darktrace、Palantir、Accenture、PwC 和 KPMG。

OpenAI 也在扩大其政府合作。该公司表示，已与澳大利亚、加拿大、法国、德国、日本、韩国、欧盟机构 ENISA 以及英国建立 Trusted Access 合作关系。在美国，OpenAI 正在协助落实近期发布的人工智能安全行政令，并计划直接与关键基础设施运营商合作。

OpenAI 还与 Trail of Bits、HackerOne 和 Calif 一起推出了 Patch the Planet，旨在将同样的补丁工具带到开源软件中。已有 30 多个开源项目加入，包括 cURL、Go、Python、Sigstore 和 pyca/cryptography。OpenAI 表示，安全研究人员会与维护者合作，在任何内容合并之前验证并去重漏洞和补丁。首个为期五天的冲刺发现了数百个问题，并促成了数十个补丁合并。

来源与参考

1. 原始链接
2. OpenAI says new GPT-5.5-Cyber outperforms Anthropic's Mythos on cybersecurity benchmark