OpenAI объявила о выпуске обновлённой модели GPT-5.5-Cyber для доверенных специалистов по защите в рамках инициативы Daybreak, а также о запуске программы Patch the Planet совместно с Trail of Bits для защиты критически важных проектов с открытым исходным кодом. Инициатива затрагивает такие проекты, как cURL, Python, Go, Sigstore и freenginx, и направлена на решение нарастающей проблемы: ИИ-модели обнаруживают уязвимости быстрее, чем мейнтейнеры успевают их устранять. Одновременно разведывательные агентства пяти стран предупреждают, что передовые ИИ-модели сжимают окно между обнаружением уязвимости и её эксплуатацией до месяцев.
GPT-5.5-Cyber и обновление Codex Security
По данным OpenAI, GPT-5.5-Cyber позиционируется как «сильнейшая модель для поиска и помощи в устранении программных уязвимостей». Компания заявляет, что модель способна проводить глубокий анализ крупных кодовых баз, выявлять проблемы безопасности, валидировать их в контролируемой среде, а также разрабатывать и тестировать патчи. Следует отметить, что эти заявления о возможностях исходят от самого вендора и пока не подтверждены независимыми бенчмарками.
Параллельно выпущено обновление плагина Codex Security, который, по заявлению OpenAI, обеспечивает:
- Глубокое сканирование кода и анализ недавних изменений
- Генерацию отчётов с указанием критичности, затронутых участков кода и рекомендаций по устранению
- Построение моделей угроз и трассировку путей атаки
- Валидацию результатов из сканеров, рекомендаций, отчётов bug bounty и тикет-систем
- Массовую генерацию патчей для ускоренного закрытия накопленных уязвимостей
Patch the Planet: защита открытого кода
Программа Patch the Planet создана для снижения нагрузки на мейнтейнеров проектов с открытым исходным кодом. В рамках инициативы инженеры по безопасности проверяют и валидируют находки, совместно с проектами разрабатывают патчи и тесты, а также создают повторно используемые рабочие процессы обнаружения уязвимостей.
Среди первых участников программы: cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, проект Go, freenginx, Python и python.org. Список участников опубликован OpenAI; независимое подтверждение от каждого проекта в открытых источниках пока не представлено.
Уязвимости, обнаруженные в рамках Daybreak
OpenAI сообщает, что инициатива Daybreak уже привела к обнаружению ряда уязвимостей в операционных системах и браузерах. Среди подтверждённых находок:
- 8 PoC-эксплойтов утечки указателей ядра и 24 эксплойта повышения привилегий в ядре Linux
- 23-летняя ошибка use-after-free в реализации семафоров System V в ядре OpenBSD
- 34 уязвимости и 7 PoC повышения привилегий в FreeBSD
- 6 уязвимостей в dnsmasq, включая CVE-2026-4890, CVE-2026-4891, CVE-2026-4892 и CVE-2026-5172
- Уязвимость WebAssembly в Mozilla Firefox — CVE-2026-8390
Отдельного внимания заслуживает CVE-2026-47729 (Squidbleed) — 29-летняя уязвимость в веб-прокси Squid, позволяющая, как сообщается, перехватывать открытые HTTP-запросы других пользователей при определённых условиях. Существование CVE подтверждено записью в NVD.
Важная оговорка: количественные данные об уязвимостях в Linux, FreeBSD и ряде других продуктов основаны на публикации самого проекта и не подтверждены независимыми источниками. Статус эксплуатации — на уровне доступных PoC; подтверждённой активной эксплуатации в дикой природе на данный момент не зафиксировано.
Контекст: ИИ как ускоритель обеих сторон
Запуск Daybreak и Patch the Planet происходит на фоне нарастающего давления со стороны государственных регуляторов. Канадский центр кибербезопасности в руководстве от мая 2026 года прямо предупредил: злоумышленники с ограниченной технической экспертизой уже используют общедоступные ИИ-модели в злонамеренных целях. Организациям рекомендовано исходить из того, что эксплуатация с применением ИИ может обходить превентивные средства контроля и значительно опережать способность вендоров выпускать исправления.
Разведывательные агентства Австралии, Канады, Новой Зеландии, Великобритании и США в совместном заявлении через NCSC подчеркнули: передовые ИИ-модели способны фундаментально трансформировать как наступательные, так и оборонительные киберспособности, причём «временной горизонт измеряется не годами, а месяцами».
Это создаёт парадоксальную ситуацию: та же технология, которая помогает защитникам находить уязвимости, одновременно снижает порог входа для атакующих. Появление так называемых «вайб-кодированных эксплойтов» — когда ИИ используется для быстрой генерации эксплойтов по свежим раскрытиям — ещё больше сжимает окно реагирования.
Оценка воздействия и рекомендации
Наибольшему риску подвержены мейнтейнеры проектов с открытым исходным кодом, которые формируют фундамент современной инфраструктуры. Проекты вроде cURL, Python и Go используются в миллионах систем, и любая неустранённая уязвимость в них имеет каскадный эффект. Организации, зависящие от перечисленных компонентов — dnsmasq, Squid, FreeBSD, — должны оценить свою подверженность обнаруженным уязвимостям.
Практические шаги:
- Проверить наличие обновлений для dnsmasq (CVE-2026-4890, CVE-2026-4891, CVE-2026-4892, CVE-2026-5172), Squid (CVE-2026-47729) и Firefox (CVE-2026-8390)
- Организациям, использующим OpenBSD, — применить исправление для use-after-free в реализации семафоров System V
- Мейнтейнерам открытых проектов — рассмотреть участие в Patch the Planet для получения ресурсов по валидации и устранению уязвимостей
- Интегрировать ИИ-инструменты обнаружения уязвимостей в существующие процессы, но сохранять человеческий контроль над принятием решений о патчах
- Пересмотреть внутренние SLA на устранение уязвимостей с учётом сокращения окна эксплуатации
Инициативы OpenAI представляют собой значимый сдвиг: от модели, где ИИ только находит уязвимости, к замкнутому циклу «обнаружение — валидация — патч — тестирование — развёртывание». Однако ключевой вопрос остаётся открытым — насколько эффективно эта модель будет работать на практике и не создаст ли массовое ИИ-обнаружение новую волну «шума» для мейнтейнеров. Организациям, использующим затронутые компоненты, следует уже сейчас проверить применимость опубликованных CVE к своей инфраструктуре и приоритизировать установку доступных исправлений, не дожидаясь появления эксплойтов в дикой природе.
