OpenAI оголосила про випуск оновленої моделі GPT-5.5-Cyber для довірених фахівців із захисту в межах ініціативи Daybreak, а також про запуск програми Patch the Planet спільно з Trail of Bits для захисту критично важливих проєктів з відкритим вихідним кодом. Ініціатива охоплює такі проєкти, як cURL, Python, Go, Sigstore і freenginx, та спрямована на розв’язання зростаючої проблеми: ШІ-моделі виявляють вразливості швидше, ніж мейнтейнери встигають їх усувати. Водночас розвідувальні відомства п’яти країн попереджають, що передові ШІ-моделі скорочують вікно між виявленням вразливості та її експлуатацією до кількох місяців.
GPT-5.5-Cyber та оновлення Codex Security
За даними OpenAI, GPT-5.5-Cyber позиціонується як «найпотужніша модель для пошуку та допомоги в усуненні програмних вразливостей». Компанія заявляє, що модель здатна проводити глибокий аналіз великих кодових баз, виявляти проблеми безпеки, валідувати їх у контрольованому середовищі, а також розробляти й тестувати патчі. Варто зазначити, що ці твердження про можливості надходять від самого вендора і поки не підтверджені незалежними бенчмарками.
Паралельно випущено оновлення плагіна Codex Security, який, за заявою OpenAI, забезпечує:
- Глибоке сканування коду та аналіз недавніх змін
- Генерацію звітів із зазначенням критичності, затронутих фрагментів коду та рекомендацій щодо усунення
- Побудову моделей загроз і трасування шляхів атаки
- Валідацію результатів зі сканерів, рекомендацій, звітів bug bounty та тікет-систем
- Масову генерацію патчів для прискореного закриття накопичених вразливостей
Patch the Planet: захист відкритого коду
Програму Patch the Planet створено для зменшення навантаження на мейнтейнерів проєктів з відкритим вихідним кодом. У межах ініціативи інженери з безпеки перевіряють і валідують знахідки, спільно з проєктами розробляють патчі й тести, а також створюють повторно використовувані робочі процеси виявлення вразливостей.
Серед перших учасників програми: cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, проєкт Go, freenginx, Python і python.org. Список учасників опубліковано OpenAI; незалежне підтвердження від кожного проєкту у відкритих джерелах наразі не представлено.
Вразливості, виявлені в межах Daybreak
OpenAI повідомляє, що ініціатива Daybreak уже призвела до виявлення низки вразливостей в операційних системах і браузерах. Серед підтверджених знахідок:
- 8 PoC-експлойтів витоку вказівників ядра та 24 експлойти підвищення привілеїв у ядрі Linux
- 23-річна помилка use-after-free в реалізації семафорів System V у ядрі OpenBSD
- 34 вразливості та 7 PoC підвищення привілеїв у FreeBSD
- 6 вразливостей у dnsmasq, зокрема CVE-2026-4890, CVE-2026-4891, CVE-2026-4892 та CVE-2026-5172
- Вразливість WebAssembly у Mozilla Firefox — CVE-2026-8390
Окремої уваги заслуговує CVE-2026-47729 (Squidbleed) — 29-річна вразливість у веб-проксі Squid, яка, за повідомленнями, за певних умов дає змогу перехоплювати відкриті HTTP-запити інших користувачів. Існування CVE підтверджене записом у NVD.
Важливе застереження: кількісні дані щодо вразливостей у Linux, FreeBSD та низці інших продуктів ґрунтуються на публікації самого проєкту й не підтверджені незалежними джерелами. Статус експлуатації — на рівні доступних PoC; підтвердженої активної експлуатації «в дикій природі» на цей момент не зафіксовано.
Контекст: ШІ як прискорювач для обох сторін
Запуск Daybreak і Patch the Planet відбувається на тлі зростаючого тиску з боку державних регуляторів. Канадський центр кібербезпеки у настанові від травня 2026 року прямо попередив: зловмисники з обмеженою технічною експертизою вже використовують загальнодоступні ШІ-моделі в зловмисних цілях. Організаціям рекомендовано виходити з того, що експлуатація із застосуванням ШІ може оминати превентивні засоби контролю та суттєво випереджати здатність вендорів випускати виправлення.
Розвідувальні відомства Австралії, Канади, Нової Зеландії, Великої Британії та США в спільній заяві через NCSC наголосили: передові ШІ-моделі здатні фундаментально трансформувати як наступальні, так і оборонні кіберспроможності, причому «часовий горизонт вимірюється не роками, а місяцями».
Це створює парадоксальну ситуацію: та сама технологія, що допомагає захисникам знаходити вразливості, одночасно знижує поріг входу для атакувальних сторін. Поява так званих «вайбкодованих експлойтів» — коли ШІ використовується для швидкої генерації експлойтів за свіжими розкриттями — ще більше стискає вікно для реагування.
Оцінка впливу та рекомендації
Найбільшому ризику піддаються мейнтейнери проєктів з відкритим вихідним кодом, які формують фундамент сучасної інфраструктури. Такі проєкти, як cURL, Python і Go, використовуються в мільйонах систем, і будь-яка неусунена вразливість у них має каскадний ефект. Організації, які залежать від перелічених компонентів — dnsmasq, Squid, FreeBSD, — мають оцінити свою вразливість до виявлених проблем.
Практичні кроки:
- Перевірити наявність оновлень для dnsmasq (CVE-2026-4890, CVE-2026-4891, CVE-2026-4892, CVE-2026-5172), Squid (CVE-2026-47729) і Firefox (CVE-2026-8390)
- Організаціям, що використовують OpenBSD, — застосувати виправлення для use-after-free в реалізації семафорів System V
- Мейнтейнерам відкритих проєктів — розглянути участь у Patch the Planet для отримання ресурсів із валідації та усунення вразливостей
- Інтегрувати ШІ-інструменти виявлення вразливостей у наявні процеси, але зберігати людський контроль над ухваленням рішень щодо патчів
- Переглянути внутрішні SLA на усунення вразливостей з огляду на скорочення вікна експлуатації
Ініціативи OpenAI становлять суттєвий зсув: від моделі, де ШІ лише знаходить вразливості, до замкненого циклу «виявлення — валідація — патч — тестування — розгортання». Втім, ключове питання лишається відкритим — наскільки ефективно ця модель працюватиме на практиці і чи не створить масове ШІ-виявлення нову хвилю «шуму» для мейнтейнерів. Організаціям, що використовують затронуті компоненти, варто вже зараз перевірити, наскільки оприлюднені CVE застосовні до їхньої інфраструктури, і пріоритизувати встановлення доступних виправлень, не чекаючи появи експлойтів «у дикій природі».
