OpenAI ha lanzado Recreo de díauna nueva iniciativa de ciberseguridad que reúne capacidades de modelos de inteligencia artificial (IA) de vanguardia y Codex Security para ayudar a las organizaciones a identificar y parchear vulnerabilidades antes de que los atacantes encuentren una manera de utilizar los mismos problemas.
«Daybreak combina la inteligencia de los modelos OpenAI, la extensibilidad de Codex como un arnés de agencia y nuestros socios en todo el volante de seguridad para ayudar a hacer el mundo más seguro para todos», dijo la empresa emergente de IA. dicho. «Los defensores pueden incorporar revisión de código seguro, modelado de amenazas, validación de parches, análisis de riesgos de dependencia, detección y orientación de corrección al ciclo de desarrollo diario para que el software se vuelva más resistente desde el principio».
Al igual que Mythos de Anthropic, la idea es aprovechar la IA para inclinar la balanza a favor de los defensores y ayudar a detectar y abordar problemas de seguridad antes de que los malos actores los encuentren. El acceso a las herramientas sigue estando estrictamente controlado por ahora, y OpenAI insta a las organizaciones interesadas a solicitar un análisis de vulnerabilidades o ponerse en contacto con su equipo de ventas.
Daybreak aprovecha Codex Security para crear un modelo de amenazas editable para un repositorio determinado que se centra en rutas de ataque realistas y código de alto impacto, identifica y prueba vulnerabilidades en un entorno aislado y propone soluciones.
El esfuerzo se basa en tres modelos: GPT-5.5 (que tiene protecciones estándar para uso general), GPT-5.5 con Trusted Access for Cyber (para trabajo defensivo verificado en entornos autorizados) y GPT-5.5-Cyber (un modelo permisivo para equipos rojos, pruebas de penetración y validación controlada).
Varias empresas importantes como Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, Oracle, Palo Alto Networks y Zscaler ya están integrando estas capacidades bajo la iniciativa Trusted Access for Cyber, dijo OpenAI, agregando que está trabajando con socios de la industria y el gobierno para implementar «más modelos con capacidad cibernética» en el futuro.
El lanzamiento se produce cuando las herramientas de inteligencia artificial han acortado el tiempo necesario para descubrir problemas de seguridad latentes que de otro modo podrían haber pasado desapercibidos, convirtiendo lo que antes habría requerido una cantidad significativa de tiempo y esfuerzo en un período de trabajo mucho más corto. Como resultado, el proceso de parcheo puede tener dificultades para mantenerse incluso en condiciones ideales.
A principios de marzo, HackerOne pausado su programa de recompensas por errores cita un cambio en el equilibrio entre los descubrimientos de vulnerabilidades y la capacidad de los mantenedores de código abierto para abordarlos, atribuyéndolo a cómo la investigación asistida por IA ha llevado a un aumento en el volumen de nuevas fallas y la velocidad a la que se identifican.
Esto también ha tenido el efecto secundario de lo que se llama fatiga de clasificación, donde los mantenedores del proyecto deben examinar una avalancha de informes de vulnerabilidad, algunos de los cuales podrían parecer plausibles pero completamente alucinados por los modelos de IA.
A medida que la IA reduce la barrera para encontrar fallas de seguridad, empresas como Anthropic, Google y OpenAI han posicionado cada vez más a los agentes de seguridad de IA como una nueva capa operativa para abordar el cuello de botella de remediación y salvaguardar la infraestructura digital de una posible explotación.
En una publicación publicada la semana pasada, el investigador de seguridad Himanshu Anand dicho «La política de divulgación de 90 días está muerta», ya que los grandes modelos de lenguaje (LLM) comprimen la divulgación y explotan los plazos hasta casi cero.
«Cuando 10 investigadores no relacionados encuentran el mismo error en seis semanas, y la IA puede convertir un parche en un exploit funcional en 30 minutos, ¿qué protege exactamente la ventana de 90 días? Nadie», dijo Anand.
