Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

OpenAI дала ИИ новую роль в киберзащите

5 мин
Изображение: grok OpenAI расширила программу Daybreak и показала модель GPT-5.5-Cyber для доверенных специалистов по безопасности, а вместе с ней — обновлённый плагин Codex Security и инициативу Patch the Planet для разработчиков открытого ПО. Компания позиционирует новую модель как самый мощный на сегодня инструмент поиска, анализа и устранения уязвимостей в программном обеспечении. Запуск пришёлся на момент, когда главной болью индустрии стала не находка ошибок, а скорость их закрытия. Ситуация перевернулась за пару лет. Раньше специалисты бились за то, чтобы вообще обнаружить дыру в большом продукте, теперь команды захлёбываются от потока уже найденных проблем и физически не успевают разбирать очередь. GPT-5.5-Cyber, по описанию OpenAI, умеет разбирать крупные кодовые базы, отлавливать потенциальные слабые места, воспроизводить их в изолированной среде и участвовать в подготовке патчей. Модель проверяет, действительно ли заплатка закрывает проблему, и помогает оценить, чем грозит об

Изображение: grok

OpenAI расширила программу Daybreak и показала модель GPT-5.5-Cyber для доверенных специалистов по безопасности, а вместе с ней — обновлённый плагин Codex Security и инициативу Patch the Planet для разработчиков открытого ПО. Компания позиционирует новую модель как самый мощный на сегодня инструмент поиска, анализа и устранения уязвимостей в программном обеспечении. Запуск пришёлся на момент, когда главной болью индустрии стала не находка ошибок, а скорость их закрытия.

Ситуация перевернулась за пару лет. Раньше специалисты бились за то, чтобы вообще обнаружить дыру в большом продукте, теперь команды захлёбываются от потока уже найденных проблем и физически не успевают разбирать очередь. GPT-5.5-Cyber, по описанию OpenAI, умеет разбирать крупные кодовые базы, отлавливать потенциальные слабые места, воспроизводить их в изолированной среде и участвовать в подготовке патчей. Модель проверяет, действительно ли заплатка закрывает проблему, и помогает оценить, чем грозит обнаруженный дефект.

Codex Security после обновления сместил акцент с чистого поиска новых дефектов на работу с накопленным долгом. Разработчики получают набор возможностей для рутины, которой раньше занимались целые команды вручную.

  • глубокий разбор проектов и проверка последних коммитов в коде;
  • формирование отчётов по найденным слабым местам с оценкой риска;
  • подготовка рекомендаций по устранению конкретных дефектов;
  • автоматическая генерация патчей по входящим заявкам и уведомлениям;
  • работа с результатами сторонних сканеров и программ багбаунти.
Стоит обратить внимание, что система умеет переваривать данные из внешних источников — отчёты сканеров, материалы багбаунти, обращения исследователей, внутренние тикеты компаний — и на их основе пачками штамповать исправления для давно висящих в бэклоге уязвимостей.

Инициатива Patch the Planet делается совместно с Trail of Bits. Задача амбициозная — поднять планку защищённости открытого софта, на котором висит инфраструктура миллионов компаний. В стартовый пул вошли cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, язык Go, freenginx, Python и сайт python.org. Логика простая — исследователь с помощью ИИ находит проблему, проверяет её реальность, оценивает критичность и вместе с мейнтейнерами проекта готовит фикс.

Сопровождающие открытых проектов оказались в положении, когда поддерживать существующий код и одновременно реагировать на растущий поток сообщений об уязвимостях стало почти невозможно физически. Программа должна перенести часть рутины на ИИ и оставить людям принятие решений. Толчком для подобных инициатив послужил рывок в возможностях современных моделей — они проглатывают огромные объёмы кода и находят ошибки на порядок быстрее прежних статических анализаторов.

Свежий пример — уязвимость Squidbleed в популярном веб-прокси Squid, получившая идентификатор CVE-2026-47729. Дефект просуществовал в коде почти 29 лет и при стечении обстоятельств выдавал HTTP-запросы одних пользователей другим в открытом виде. Подобные истории показывают, что в зрелых проектах годами лежат вещи, до которых руки у живых аудиторов просто не доходили.

Обратная сторона медали беспокоит специалистов не меньше. Те же модели, что чинят код, прекрасно умеют его ломать. Канадский центр кибербезопасности в рекомендациях, опубликованных в мае 2026 года, прямо предупредил, что пользователи с минимальной технической подготовкой получают рабочий инструмент для поиска и эксплуатации дефектов в чужих продуктах. Аналитики центра советуют организациям закладывать в модель угроз ситуацию, при которой злоумышленник найдёт дыру быстрее, чем вендор успеет выкатить обновление.

OpenAI пытается выровнять баланс — раздать защитникам инструменты сопоставимого уровня. Все продукты Daybreak распространяются среди проверенных исследователей, доступ ограничен, использование контролируется. В подтверждение результативности компания привела цифры по работе участников за последние месяцы.

  • 8 концептуальных схем утечки данных через указатели ядра Linux;
  • 24 примера локального повышения привилегий в той же экосистеме;
  • ошибка use-after-free в реализации семафоров System V в OpenBSD, лежавшая в коде около 23 лет;
  • 34 дефекта во FreeBSD и 7 вариантов локального повышения привилегий;
  • 6 проблем безопасности в dnsmasq с идентификаторами CVE-2026-4890, CVE-2026-4891, CVE-2026-4892 и CVE-2026-5172.
Отмечается, что среди находок есть техника отказа в обслуживании HTTP/2 Bomb, бьющая по NGINX, Apache, IIS и Pingora — то есть фактически по доброй половине промышленных веб-серверов планеты.

Браузерный фронт тоже не остался без внимания. Участники программы нашли 5 потенциально эксплуатируемых дефектов в движке JavaScript V8, на котором работает Google Chrome, 10 проблем в Apple Safari и уязвимость WebAssembly в Mozilla Firefox с идентификатором CVE-2026-8390. Для крупных вендоров такой объём находок за короткий срок — серьёзный аргумент в пользу того, что ИИ-аудит работает не на бумаге.

Конечная цель Patch the Planet формулируется шире обычного багхантинга. OpenAI хочет собрать замкнутый цикл — от поиска и проверки дефекта до подготовки исправления, его тестирования и выкатки в продакшен. Модели берут на себя ускорение этапов, требующих перебора и однотипной аналитики, а финальное слово остаётся за людьми, отвечающими за инфраструктуру и продукт. Разработчики из OpenAI настаивают, что автоматизация патчей не отменяет ответственности мейнтейнеров — она лишь снимает с них часть рутинной нагрузки.

Эксперты редакции CISOCLUB уверены, что мы наблюдаем переход к новой модели работы с уязвимостями, в которой роль человека постепенно смещается от ручного поиска к надзору за результатами ИИ. Идея раздачи защитникам инструмента уровня GPT-5.5-Cyber выглядит логичным ответом на гонку вооружений, развернувшуюся вокруг автоматизированного багхантинга. Сомнения вызывает другое — насколько закрытым останется доступ к подобным моделям и не утекут ли производные технологии в руки атакующих, как это уже было с публичными инструментами наступательной безопасности. Открытое ПО получает шанс закрыть многолетний долг по уязвимостям, но успех Patch the Planet будет зависеть от готовности мейнтейнеров принимать ИИ-патчи в свою кодовую базу. Если механика приёмки заработает, мы увидим в ближайшие полтора года резкое снижение числа застарелых CVE в критичных компонентах вроде Python, Go и cURL.

Оригинал публикации на сайте CISOCLUB: "OpenAI выпустила улучшенную версию своей модели GPT-5.5-Cyber для помощи ИБ-специалистам в устранении уязвимостей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

IT
5,67 млн интересуются