OpenAI از GPT-5.5-Cyber برای متحول کردن وصله‌گذاری خودکار رونمایی کرد

OpenAI با انتشار کامل GPT-5.5-Cyber، یک مدل تخصصی که برای عملکرد بهتر از معیارهای فعلی صنعت طراحی شده است، رقابت تسلیحاتی هوش مصنوعی در امنیت سایبری را به طور قابل توجهی تشدید می‌کند. OpenAI با فراتر رفتن از شناسایی ساده آسیب‌پذیری‌ها و حرکت به سمت تولید خودکار وصله (patch)، قصد دارد شکاف حیاتی بین یافتن نقص‌ها و رفع آن‌ها را پر کند.

موفقیت در بنچمارک: GPT-5.5-Cyber در مقابل Mythos

انتشار GPT-5.5-Cyber نقطه عطفی بزرگ در عملکرد مدل‌های زبانی بزرگ (LLM) تخصصی محسوب می‌شود. طبق گفته OpenAI، این مدل جدید در بنچمارک‌های امنیتی حیاتی، رکوردهای جدیدی را ثبت کرده و به طور قابل توجهی از Mythos 5 شرکت Anthropic پیشی گرفته است. در بنچمارک CyberGym که توانایی یک عامل (agent) را در بازتولید نقص‌های شناخته شده می‌سنجد، GPT-5.5-Cyber به امتیاز ۸۵.۶٪ دست یافت که از امتیاز ۸۳.۸٪ برای Mythos 5 و ۸۱.۸٪ برای مدل استاندارد GPT-5 فراتر رفته است.

عملکرد در ExploitGym حتی چشمگیرتر است، جایی که GPT-5.5-Cyber به امتیاز ۳۹.۵٪ رسید که تقریباً دو برابر امتیاز ۲۵.۹۵٪ مدل پایه GPT-5 است. در SEC-bench Pro که کشف آسیب‌پذیری‌های طولانی‌مدت را ارزیابی می‌کند، این مدل امتیاز ۶۹.۸٪ را کسب کرد و برتری قابل توجه خود را نسبت به Claude Opus 4 (۷۳.۱٪ در CyberGym) و نسخه‌های قبلی حفظ کرد. این اعداد نشان می‌دهند که GPT-5.5-Cyber به طور خاص برای منطق ظریف مورد نیاز در تحقیقات امنیتی تهاجمی و دفاعی تنظیم دقیق (fine-tuned) شده است.

بستن چرخه با Codex Security

یکی از اجزای اصلی ابتکار امنیت سایبری Daybreak، پلاگین به‌روزرسانی شده Codex Security است. در حالی که بسیاری از ابزارها صرفاً بر اسکن تمرکز دارند، Codex Security به‌روزرسانی شده تمام مراحل را از کشف تا تولید وصله مدیریت می‌کند. از زمان نسخه پیش‌نمایش تحقیقاتی آن در ماه مارس، این پلاگین بیش از ۳۰ میلیون commit را در ۳۰,۰۰۰ پایگاه کد اسکن کرده که منجر به شناسایی خودکار ۵۰۰,۰۰۰ اصلاحیه شده است.

این پلاگین مانند یک مهندس امنیت مجازی عمل می‌کند؛ اسکن‌های عمیقی از کل پایگاه‌های کد انجام می‌دهد، تحلیل مسیر حمله را اجرا می‌کند و بررسی می‌کند که آیا کد آسیب‌پذیر واقعاً قابل دسترسی است یا خیر. نکته حیاتی این است که این ابزار با خروجی گرفتن از یافته‌ها از طریق فایل‌های SARIF یا پرس‌وجوهای CodeQL، از جریان‌های کاری مدرن توسعه‌دهندگان پشتیبانی می‌کند. برای جلوگیری از اصلاحات امنیتی «توهمی» (hallucinated)، OpenAI تأکید می‌کند که مهندسان انسانی همچنان باید هر تغییر را تأیید نهایی کنند.

یک اکوسیستم دفاعی جهانی

OpenAI این سیستم را در انزوا نمی‌سازد؛ بلکه در حال ایجاد یک شبکه گسترده از شرکا از طریق برنامه Daybreak Cyber Partner است. این برنامه شامل غول‌های صنعت مانند CrowdStrike، Cisco، Cloudflare، Palo Alto Networks، IBM و SentinelOne است. این شرکت‌ها می‌توانند GPT-5.5 را با قابلیت "Trusted Access for Cyber" مستقیماً در محصولات امنیتی اختصاصی خود ادغام کنند.

علاوه بر این، این ابتکار به بخش دولتی و پایداری متن‌باز نیز گسترش یافته است. OpenAI مشارکت‌های "Trusted Access" را با دولت‌هایی از جمله استرالیا، کانادا، فرانسه، آلمان، ژاپن و بریتانیا برقرار کرده است. در جبهه متن‌باز، ابتکار "Patch the Planet" با همکاری Trail of Bits و HackerOne، هم‌اکنون در حال کار بر روی پروژه‌های حیاتی مانند cURL، Go و Python برای ایمن‌سازی زیربنای اینترنت است.

نکات کلیدی

  • بنچمارک‌های برتر: GPT-5.5-Cyber در آزمون‌های کلیدی صنعت مانند CyberGym و ExploitGym پیشتاز است و هم از Mythos شرکت Anthropic و هم از مدل‌های استاندارد GPT-5 عملکرد بهتری دارد.
  • اتوماسیون سرتاسری: پلاگین Codex Security فرآیند انتقال از کشف آسیب‌پذیری به تولید وصله را خودکار می‌کند و از اسکن‌های عمیق و تحلیل مسیر حمله پشتیبانی می‌نماید.
  • دسترسی فقط برای افراد تایید شده: برای کاهش ریسک‌ها، مدل بسیار منعطف GPT-5.5-Cyber تنها در اختیار مدافعان تأیید شده و تحت نظارت دقیق و چارچوب‌های حفاظتی (guardrails) قرار دارد.