OpenAI amplía la iniciativa de ciberseguridad Daybreak con el lanzamiento de GPT-5.5 Cyber para defensores de confianza

OpenAI ha ampliado su iniciativa de ciberdefensa Daybreak, con una nueva versión de GPT-5.5 Cyber disponible para "defensores de confianza" y mejoras en Codex Security, con lo que ya ha contribuido a descubrir vulnerabilidades críticas en navegadores, sistemas operativos e infraestructuras de red, además de presentar la iniciativa Patch the Planet para proyectos de código abierto.

La tecnológica presentó GPT-5.5 Cyber en abril de este año, su modelo centrado en la ciberseguridad y basado en GPT-5.5, con capacidades similares a las de Claude Mythos de Anthropic para identificar vulnerabilidaes y proteger a empresas e infraestructuras. Se trata del modelo más inteligente y avanzado de la compañía dirigida por Sam Altman, disponible para "defensores críticos de la ciberseguridad".

Este modelo se enmarca en la iniciativa de ciberdefensa para la industria tecnológica Daybreak, con la que OpenAI pretende anticiparse a los riesgos e impulsar el 'software' resiliente por diseño.

Ahora, la tecnológica ha anunciado que está ampliando su iniciativa Daybreak para, de la mano del lanzamiento de GPT-5.5 Cyber y su complemento Codex Security actualizados, "ayudar a democratizar" la aplicación de parches a 'software' vulnerable, como ha compartido en un comunicado en su blog.

Como resultado, OpenAI ha compartido que ha aplicado sus modelos para descubrir y generar parches para vulnerabilidades críticas encontradas en los principales navegadores, infraestructura de red y sistemas operativos como Firefox, Safari, OpenBSD, FreeBSD, implementaciones de HTTP/2 y el kernel de Linux.

Concretamente, tras la vista previa inicial para usuarios con permisos limitados, la tecnológica ha lanzado la versión completa del modelo GPT-5.5 Cyber actualizado, aunque se ha lanzado de forma restringida para "defensores de confianza".

Esta actualización agrega mejoras como que permite analizar de forma más profunda grandes bases de código, identificar componentes relevantes para la seguridad, determinar si el código vulnerable es accesible, crear entornos controlados para validar posibles problemas y desarrollar y probar parches.

Además, con este modelo mejorado, OpenAI asegura establecer "un nuevo estándar de rendimiento" en métricas de CyberGym, que mide si un agente puede reproducir vulnerabilidades conocidas en entornos de 'software' y donde alcanza un 85,6 por ciento, en comparación con el 81,8 por ciento de GPT-5.5. El modelo Cyber también ha superado a GPT-5.5 en otras pruebas como ExploitGym y SEC-bench Pro.

Este modelo se ha puesto a disposición a través del Programa de socios de Daybreak Cyber, que permite a los socios de seguridad ampliar el acceso a más organizaciones, ofreciendo los modelos de OpenAI "más capaces", con acceso seguro en sus productos y servicios.

Por otra parte, OpenAI ha lanzado una actualización para su complemento Codex Security que, actuando como "un ingeniero de seguridad para cada desarrollador de 'software'" y en base a pruebas internas, ahora agrega mejoras para acelerar el proceso de descubrimiento y parcheo de vulnerabilidades. También ha sido mejorado para "evitar automáticamente que nuevas vulnerabilidades lleguen a producción".

Así, ha detallado que, con el uso de Codex Security Cloud desde su lanzamiento en versión preliminar, se han analizado más de 30 millones de confirmaciones de vulnerabilidades en más de 30.000 bases de código. Igualmente, el equipo de revisores ha marcado manualmente más de 70.000 hallazgos como corregidos y, de la misma forma, más de 500.000 hallazgos han sido determinados automáticamente como corregidos.

Esto se debe a que el complemento es capaz de comprender el código del equipo donde opera, identificar vulnerabilidades plausibles, determinar si el código afectado es accesible y desarrollar un parque específico para resolver los fallos identificados. Además, tras ello, verifica el resultado y los desarrolladores mantienen "el control total" durante el proceso.

Con la actualización de Codex Security, OpenAI ha adelantado que permite flujos de trabajo de seguridad defensiva "listos para usar". Es decir, los desarrolladores pueden realizar análisis exhaustivos o revisar cambios recientes, generar informes sobre la gravedad de un fallo, localizar la ubicación del código afectado, evaluar las pruebas de validación y las recomendaciones para la corrección y rastrear las rutas de ataque, entre otros.

Una vez completado un análisis, Codex Security también puede exportarlo a un sistema de gestión de vulnerabilidades existente o integrarse con otras herramientas que utilicen, por ejemplo, archivos SARIF o consultas CodeQL. Además, admite flujos de trabajo automatizados con la CLI de Codex y se puede integrar en los flukos de trabajo de los desarrolladores en la aplicación Codex.

Además de todo ello, OpenAI también ha dado a conocer su iniciativa Patch the Planet que, fundada con Trail of Bits, de la mano de HackerOne, investigadores y otros expertos, pretende ayudar a que los proyectos de código abierto también dispongan de medidas de seguridad con acceso a los modelos de la tecnológica y Codex Security.

En concreto, los participantes pueden acceder a ChatGPT Pro, Codex Security y créditos de API para el desarrollo principal, la automatización del mantenimiento y los flujos de trabajo de lanzamiento.

La iniciativa ya cuenta con más de 30 proyectos de código abierto que se han comprometido a participar, incluyendo cURL, Go, Python, Sigstore y pyca/cryptography. Además, solo en los primeros cinco días de participación, se identificaron "cientos de problemas" para su revisión y se fusionaron docenas de parches.

La compañía ha destacado que el funcionamiento de Patch the Planet se basa en la revisión de seguridad realizada por expertos humanos. Así, cada proyecto se inicia mediante una consulta a los investigadores de seguridad que participan en la iniciativa, que se ajustan a las prioridades, preferencias y procesos establecidos por los responsables del mantenimiento del servicio en cuestión, al que se está prestando asistencia.

Tras ello, los investigadores "gestionan el trabajo de principio a fin", validando y eliminando duplicados tanto de las vulnerabilidades como de los parches antes de que lleguen a los responsables del mantenimiento. Esto "reduce significativamente su carga de trabajo y acelera la corrección de problemas".