Daybreak setzt auf automatisches Patchen statt nur Bug‑Finden.
In Kürze
- Codex‑Security scannt Millionen Commits
- GPT‑5.5‑Cyber erzeugt und verifiziert Patches
- Zugang nur für verifizierte Verteidiger
OpenAI verschiebt den Schwerpunkt in seiner Cybersecurity-Offensive Daybreak: Weg vom reinen Finden von Bugs, hin zum weitgehenden Automatisieren des Patchens. Damit adressiert das Unternehmen einen Engpass, den auch andere Sicherheitsfirmen wie Anthropic sehen: Nicht das Auffinden von Schwachstellen ist das größte Problem, sondern das schnelle, zuverlässige Schließen.
Ein „Sicherheitsingenieur“ im Plugin-Format
Das Codex-Security-Plugin, seit März als Research Preview verfügbar, hat laut OpenAI bereits mehr als 30 Millionen Commits in über 30.000 Codebasen durchsucht. Ergebnis: rund 500.000 Findings wurden automatisch als behoben markiert, weitere etwa 70.000 von Menschen bestätigt. Neu im Update sind unter anderem:
- Deep-Scans ganzer Projekte,
- Analyse von Angriffspfaden, die zeigt, wie ein Angreifer eine Schwachstelle ausnutzen könnte,
- automatische Entwicklung gezielter Patches und deren Verifikation,
- Exportmöglichkeiten in bestehende Schwachstellen-Management-Systeme (z. B. SARIF-Dateien oder CodeQL-Queries),
- Stapelverarbeitung für Patch-Generierung sowie
- Priorisierung (Triaging) von Ergebnissen aus anderen Scannern oder Bug‑Bounty‑Reports.
Menschen bleiben dabei die letzte Instanz: Entwicklerinnen und Entwickler prüfen und bestätigen die Änderungen final.
GPT-5.5-Cyber: ein spezialisiertes Patch‑ und Prüfmodell
OpenAI hat die Preview-Phase beendet und GPT-5.5-Cyber vorgestellt — laut Hersteller das leistungsfähigste Einzelmodell zum Finden und Patchen von Schwachstellen. Auf Benchmarks erreicht es teils neue Bestwerte:
- CyberGym (Reproduzieren bekannter Schwachstellen): 85,6 %,
- ExploitGym (aus Schwachstellen funktionierende Exploits erstellen): 39,5 %,
- SEC-bench Pro (langfristige Schwachstellenerkennung): 69,8 %.
Zum Vergleich (jeweils dort gemessen): Mythos 5 kommt auf 83,8 % bei CyberGym; das Standard-GPT-5.5 liegt bei 81,8 % (CyberGym), 25,95 % (ExploitGym) und 63,1 % (SEC-bench Pro); GPT-5.4: 79,0 % (CyberGym); Claude Opus 4: 73,1 % (CyberGym). GPT-5.5-Cyber ist bewusst „permissiver“ und lehnt Anfragen seltener ab. Zugang bleibt jedoch eingeschränkt: Nur verifizierte Verteidiger erhalten Zugriff, gekoppelt an stärkere Verifizierung, Monitoring und Kontrollen. Für die meisten Nutzer empfiehlt OpenAI weiterhin GPT-5.5 mit „Trusted Access for Cyber“ plus das Codex‑Security‑Plugin als Einstieg.
Partnernetzwerk und staatliche Kooperationen
OpenAI hat ein Daybreak Cyber Partner Program mit mehr als 25 Sicherheitsfirmen aufgebaut, darunter:
- Cisco
- CrowdStrike
- Cloudflare
- Palo Alto Networks
- IBM
- Fortinet
- Wiz
- SentinelOne
- Darktrace
- Palantir
- Accenture
- PwC
- KPMG
Zusätzlich bestehen Trusted‑Access‑Abkommen mit Regierungen und Behörden in:
- Australien
- Kanada
- Frankreich
- Deutschland
- Japan
- Südkorea
- der EU‑Agentur ENISA
- dem Vereinigten Königreich
In den USA arbeitet OpenAI an der Umsetzung einer Executive Order zur KI‑Sicherheit und plant Kooperationen mit Betreibern kritischer Infrastruktur.
Patch the Planet: Open Source im Fokus
Unter dem Namen „Patch the Planet“ kooperiert OpenAI mit Trail of Bits, HackerOne und Calif, um Open‑Source‑Projekte gezielt zu härten. Mehr als 30 Projekte sind beteiligt, darunter:
- cURL
- Go
- Python
- Sigstore
- pyca/cryptography
Sicherheitsforscherinnen und -forscher arbeiten direkt mit Maintainer‑Teams, validieren und deduplizieren Schwachstellen sowie Patches. Beim ersten fünftägigen Sprint wurden laut OpenAI Hunderte Issues gefunden und Dutzende Patches gemergt.
Was das für dich heißt
OpenAI verlagert die Priorität von reiner Schwachstellensuche auf automatisierte Patch‑Erstellung und -Verifikation. Entwicklerinnen und Entwickler bekommen Werkzeuge, die tief in Codebasen scannen, Angriffspfade analysieren und gezielt Patches vorschlagen — mit Exportmöglichkeiten in bestehende Tools. Die stärksten Modelle und Funktionen sind aber nur für verifizierte Verteidiger zugänglich; Menschen behalten die finale Prüfung und Verantwortung. Für die breite Masse bleibt der empfohlene Einstieg GPT-5.5 mit „Trusted Access for Cyber“ in Kombination mit dem Codex‑Security‑Plugin.
Quellen
- Quelle: OpenAI
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
