OpenAI is gelanceerd Het aanbreken van de dageen nieuw cybersecurity-initiatief dat grensverleggende mogelijkheden voor kunstmatige intelligentie (AI)-modellen samenbrengt met Codex Security om organisaties te helpen kwetsbaarheden te identificeren en te patchen voordat aanvallers een manier vinden om dezelfde problemen te gebruiken.
“Daybreak combineert de intelligentie van OpenAI-modellen, de uitbreidbaarheid van Codex als een agentisch harnas en onze partners aan het beveiligingsvliegwiel om de wereld voor iedereen veiliger te maken”, aldus de AI-parvenu. “Verdedigers kunnen veilige codebeoordeling, bedreigingsmodellering, patchvalidatie, afhankelijkheidsrisicoanalyse, detectie en herstelbegeleiding in de dagelijkse ontwikkelingscyclus brengen, zodat software vanaf het begin veerkrachtiger wordt.”
Net als Mythos van Anthropic is het de bedoeling om AI in te zetten om de balans in het voordeel van verdedigers te laten kantelen en beveiligingsproblemen te helpen opsporen en aanpakken voordat ze door slechte actoren worden ontdekt. De toegang tot de tooling blijft voorlopig streng gecontroleerd, waarbij OpenAI geïnteresseerde organisaties aanspoort om een kwetsbaarheidsscan aan te vragen of contact op te nemen met het verkoopteam.
Daybreak maakt gebruik van Codex Security om een bewerkbaar dreigingsmodel te bouwen voor een bepaalde repository dat zich richt op realistische aanvalspaden en code met hoge impact, kwetsbaarheden in een geïsoleerde omgeving identificeert en test, en oplossingen voorstelt.
De inspanning is gebouwd op de fundamenten van drie modellen: GPT-5.5 (met standaardbeveiligingen voor algemeen gebruik), GPT-5.5 met Trusted Access for Cyber (voor geverifieerd defensief werk in geautoriseerde omgevingen) en GPT-5.5-Cyber (een tolerant model voor red teaming, penetratietesten en gecontroleerde validatie).
Verschillende grote bedrijven zoals Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, Oracle, Palo Alto Networks en Zscaler integreren deze mogelijkheden al onder het Trusted Access for Cyber-initiatief, aldus OpenAI, en voegt eraan toe dat het samenwerkt met industrie- en overheidspartners om in de toekomst “meer cyber-capabele modellen” in te zetten.
De uitrol komt omdat AI-tools de tijd hebben verkort die nodig is om latente beveiligingsproblemen te ontdekken die anders misschien aan de aandacht zouden zijn ontsnapt, waardoor wat ooit een aanzienlijke hoeveelheid tijd en moeite zou hebben gekost, in een veel kortere werkperiode is veranderd. Als gevolg hiervan kan het patchingproces zelfs onder ideale omstandigheden moeite hebben om bij te blijven.
Eerder dit jaar heeft HackerOne zijn bugbounty-programma stopgezet, daarbij verwijzend naar een verschuiving in de balans tussen ontdekkingen van kwetsbaarheden en de mogelijkheid voor open-sourcebeheerders om deze aan te pakken. Dit wordt toegeschreven aan de manier waarop AI-ondersteund onderzoek heeft geleid tot een toename van het aantal nieuwe fouten en de snelheid waarmee ze worden geïdentificeerd.
Dit heeft ook het neveneffect gehad van zogenaamde triagemoeheid, waarbij projectbeheerders een stortvloed aan kwetsbaarheidsrapporten moeten doorzoeken, waarvan sommige plausibel klinken maar volledig worden gehallucineerd door de AI-modellen.
Nu AI de drempel voor het vinden van beveiligingsfouten verlaagt, hebben bedrijven als Anthropic, Google en OpenAI AI-beveiligingsagenten steeds meer gepositioneerd als een nieuwe operationele laag om het herstelknelpunt aan te pakken en de digitale infrastructuur te beschermen tegen mogelijke uitbuiting.
In een vorige week gepubliceerde post zei veiligheidsonderzoeker Himanshu Anand dat “het 90 dagen openbaarmakingsbeleid dood is”, omdat grote taalmodellen (LLM’s) de openbaarmaking comprimeren en tijdlijnen exploiteren tot bijna nul.
“Als tien niet-verwante onderzoekers binnen zes weken dezelfde bug vinden, en AI een patch-diff in 30 minuten kan omzetten in een werkende exploit, wat beschermt de periode van 90 dagen dan precies? Niemand”, zegt Anand.
