OpenAI启动“补天”计划：用AI守护开源供应链安全

今天，OpenAI发布了Daybreak（破晓）网络安全方案，一次性推出三项成果：功能全面的GPT-5.5-Cyber、升级版Codex Security，以及一个极具感染力的项目——Patch the Planet（补天计划）。

前两项代表能力，第三项则是一个课题。

补天计划要应对的挑战，并非“如何发现漏洞”——AI在这方面已经足够高效。它的重点在于：发现漏洞后，如何确保修复措施能够真正落实。

Part01

这次发布的核心是GPT-5.5-Cyber完整版。这不是一个“更擅长聊天”的GPT，而是专为高级网络安全任务设计的定制模型——更精通漏洞复现、利用链分析、补丁辅助和长期安全任务。

GPT-5.5-Cyber的性能表现非常突出。在评估AI能否复现已知漏洞的CyberGym基准测试中，GPT-5.5-Cyber单模型得分达到85.6%，显著超过GPT-5.5的81.8%。它甚至超越了竞争对手Anthropic的Mythos 5，刷新了GPT系列模型在该测试中的最高记录。

在另外两个高难度的真实安全基准中，GPT-5.5-Cyber同样表现出色：

三项基准测试中，完整的Cyber版全面领先通用版GPT-5.5。

但OpenAI并未将分数视为终点。他们反复强调：基准只是故事的一部分，真正重要的是模型能否发现真实漏洞、区分可操作问题与干扰信息，并协助防守方安全地实施修复。

Part02

如果说GPT-5.5-Cyber是Daybreak计划中最锋利的矛，那么Codex Security插件就是递到每个开发者手中的盾牌。

OpenAI将Codex Security直接整合到Codex的工作流程中——提供即开即用的漏洞扫描、威胁建模、攻击路径追踪和补丁自动生成等一体化功能。其核心理念很简单：为每位程序员配备一个安全工程师。

开发者可以运行深度扫描或审查近期变更，生成包含严重性评估、受影响代码位置、验证证据及修复指南的完整报告，还能追踪攻击路径、构建威胁模型、验证发现结果，并直接生成针对代码库的补丁供人工审查。更关键的是，它不仅能修复现有系统中的漏洞，还能自动防止新漏洞进入生产环境。

自今年3月以研究预览形式上线以来，Codex Security交出了一份相当惊人的成绩单——已扫描超过3000万次代码提交，覆盖超过3万个代码库。其中，人工审核确认修复的发现超过7万个，系统自动判定修复的超过50万个。

这就是AI时代“修补漏洞”必须达到的规模：以前是人海战术，现在是机器速度。

Part03

补天计划背后，是OpenAI对网络安全范式的一个判断：瓶颈已经从“发现漏洞”转移到了“修复漏洞”。

然而，就在OpenAI高调发布“补天计划”的同时，Codex却被曝出了一个令人尴尬的“史诗级”Bug。

有开发者发现，Codex在执行长时间运行时，会以极高的频率向本地SQLite数据库持续写入诊断日志。连续运行21天，硬盘承受了约37TB的写入量，年化预估高达640TB，足以在一年内写废一块消费级SSD。

问题根源是一项日志配置默认以全局TRACE级别运行，记录了一切细碎事件，加上数据库频繁循环写入带来的放大效应，实际磁盘损耗远超正常水平。

好在官方及时发现问题并进行修复。OpenAI研究员Vaibhav (VB) Srivastav回应称，问题已随最新版Codex一同发布修复补丁，并提醒所有用户“务必通过npm或bash安装脚本将Codex升级到最新版本”。

Bug是修好了，但回过头来看，一边抛出“补天”的安全愿景，另一边自家工具爆出“烧穿硬盘”的Bug——这或许正是AI安全时代最真实的写照：技术在飞速前进，但完美依然在路上。

参考