OpenAI发布GPT-5.5-Cyber,超越Mythos 5,端到端补丁自动化重构网络安全格局

2026年6月22日，OpenAI推出Daybreak：为全球所有组织筑牢安全防线的工具。全新工具、合作伙伴生态，以及完整版GPT‑5.5‑Cyber正式推出，将工作重心从漏洞发现转向加速端到端补丁自动化。

OpenAI正在拓展Daybreak项目，以机器级速度推动漏洞补丁修复的普惠化。例如，OpenAI已将模型能力应用于主流浏览器、网络基础设施，以及FreeBSD、Linux内核等操作系统的高危漏洞发现与补丁生成。为进一步放大这些能力的影响力：

Codex Security：OpenAI推出Codex Security插件更新，将模型在内部与客户场景中沉淀的经验整合为一体化解决方案，既能加速现有系统的漏洞发现与修复流程，也能自动防范新漏洞流入生产环境。

GPT‑5.5‑Cyber：经过初期仅开放宽松权限的预览阶段后，OpenAI通过持续的限量发布机制，向可信防御者推出完整版GPT‑5.5‑Cyber。该模型在CyberGym基准测试中刷新了行业最优性能，得分达85.6%，而GPT‑5.5的得分为81.8%。

Daybreak网络安全合作伙伴计划：赋能安全合作伙伴，将OpenAI性能最强的模型以可信接入的方式集成到其产品与服务中，让更多组织享受到技术红利。

Patch the Planet（修复全球）：OpenAI与Trail of Bits联合发起的倡议，联合HackerOne、Calif、安全研究者及项目维护者，助力广泛应用的开源项目完成从漏洞发现到修复落地的全流程。

目前已有30余个开源项目确认参与，首批成员包括cURL、Go、Python、Sigstore和pyca/cryptography。

通过Patch the Planet项目，OpenAI与研究者、维护者、企业及合作伙伴携手，在合规的访问权限、治理机制与人工监督框架下，为防御者提供强大的网络安全能力。

网络防御正处于转折点

AI重构了网络安全的底层逻辑。前沿AI模型正持续加速漏洞发现的效率。过去行业的瓶颈在于发现漏洞，而如今防御者已被海量已发现的漏洞淹没，核心瓶颈已转变为修复漏洞。

多年来，挖掘高危漏洞需要稀缺的专业能力、大量时间投入，以及对复杂系统的深度认知。如今，AI模型能够遍历大型代码库、推演攻击路径、验证假设，并挖掘原本可能长期隐匿的安全问题。防御者不仅需要获得这些能力，更需要配套工具，赶在攻击者利用漏洞之前完成修复。

漏洞报告本身无法形成防护。真正的价值来自验证问题、评估影响、开发并测试补丁、协调披露机制，以及协助团队落地修复。OpenAI正与合作伙伴共同投入资源优化这些后续环节，为防御者提效赋能，将模型能力转化为现实中的风险降低。

前沿防御能力不应集中在少数主体手中。软件渗透到生活的方方面面，从关键基础设施到商业应用、政府网络均高度依赖软件。随着AI加快漏洞发现的节奏，全球各地的防御者都需要普惠化的模型访问权限，才能在攻击者识别并利用漏洞之前，完成自身基础设施的漏洞排查、修复与防护。

Daybreak整合了OpenAI模型的前沿网络安全能力、网络安全可信接入机制、Codex Security工作流与生态合作伙伴，帮助经认证的防御者在现有安全与开发流程中，完成漏洞验证、风险优先级排序、修复方案生成与测试，以及证据留存。OpenAI的目标是：即便网络威胁态势持续加速演变，也能为各类组织提供保障安全所需的工具。

借助Codex Security，从漏洞发现走向修复落地

自3月推出研究预览版Codex Security云服务以来，它已扫描3万余个代码库中的超3000万次代码提交；人工审核者已手动标记超7万项漏洞为已修复，另有超50万项漏洞被自动判定为修复完成。

Codex Security 核心运行数据

30K：已扫描代码仓库数
30M+：已扫描代码提交数
500K+：已修复漏洞项

这正是当下补丁修复需要达到的规模化水平。

OpenAI打造Codex Security基于一个核心理念：通过直接集成到Codex中，为每位软件开发人员配备相当于专属安全工程师的能力。Codex Security不只是生成告警，它还能理解团队代码及其威胁模型（若不存在则自动生成）、识别潜在漏洞、判定受影响代码是否可被触发、收集证据提供验证步骤、开发针对性补丁并验证修复效果。人工始终拥有最终决策权：决定调查哪些漏洞、应用哪些变更、共享哪些信息。

今日OpenAI发布的Codex Security插件更新，支持开箱即用的防御性安全工作流。开发人员可执行深度扫描或审查近期代码变更，生成包含严重等级、受影响代码位置、验证证据与修复指引的报告，追踪攻击路径、构建威胁模型、验证漏洞，并生成适配对应代码库的补丁以供审核。

完整工作流分为四个环节：执行扫描 → 查看漏洞仪表盘 → 详细评估 → 生成修复方案

1. 执行扫描

可灵活设置扫描范围，覆盖整个代码库、代码库子集，或是特定的代码变更与提交。在扫描配置界面中，可自定义扫描类型、目标分支、威胁模型范围等参数，按需发起全量深度扫描或增量变更扫描。

2. 查看漏洞仪表盘

漏洞仪表盘将扫描输出转化为按优先级排序、支持检索的工作列表。产品经理或安全负责人可一目了然地查看扫描状态、严重等级分布、扫描覆盖率与佐证材料，还可按类别、目录、漏洞状态、严重等级或是否已有补丁进行筛选。每一行均标注问题名称、受影响代码区域、严重等级与处理状态。

3. 详细评估

点开单条漏洞后，呈现的不只是一条告警。Codex Security会说明问题所在、发生位置、潜在严重程度，以及评估的置信水平。它会记录验证方法、观测到的证据、已证实的结论，以及所有局限性——让安全团队与工程团队更容易协同评估。

4. 生成修复方案

针对选中的漏洞，Codex Security可生成精准的修复补丁，并总结验证方式。审核者可以查看每一处变更的文件与代码行，复制、重新生成补丁，或是在本地应用补丁。在人工确认应用之前，选中的代码分支始终保持原样不变。

该插件还可对来自扫描器、安全公告、漏洞赏金报告或工单系统的现有漏洞进行分类与验证，随后规模化自动生成补丁，快速清理积压的漏洞问题。Codex Security完成扫描后，结果可导出至现有漏洞管理系统，或通过SARIF文件、CodeQL查询等格式集成到相关工具中。本次更新大幅降低了能力使用门槛，既支持通过Codex CLI接入自动化流水线，也能集成到Codex应用的开发工作流中。

GPT‑5.5‑Cyber更新：能力升级与权限优化并行

OpenAI发布GPT‑5.5‑Cyber更新版本。这款面向经授权高级网络安全工作的模型，在能力更强的同时，也放开了更多使用权限。

GPT‑5.5‑Cyber的初始预览版，核心目标是减少专业工作流中不必要的拒绝响应。本次更新更进一步，是OpenAI迄今为止在漏洞发现与辅助修复领域能力最强的模型，同时完整保留了GPT‑5.5的通用智能与处理长周期复杂任务的能力。

该模型可对大型代码库开展持续深度分析：识别安全相关组件、追踪漏洞代码是否可被触发、在受控环境中验证潜在问题、开发并测试补丁，以及整理证据供人工审核。其核心目标是帮助防御者走完完整的修复闭环，而非仅仅产出更多漏洞报告。

CyberGym基准测试用于衡量智能体能否在软件环境中复现已知漏洞。在单模型评估中，更新后的GPT‑5.5‑Cyber得分达85.6%，而GPT‑5.5为81.8%，创下OpenAI测得的单模型CyberGym最高纪录。

🚨 该成绩同时也已超越 Mythos 5 模型：

CyberGym 的测试规则为：AI 智能体将获取真实漏洞描述与完整代码库，需要编写出可正常运行、能造成软件崩溃的漏洞利用代码。
这是目前衡量进攻性网络安全能力最具实操性的测试之一。

也有行业观点就此提出疑问：这是否意味着 GPT 5.6 及后续版本的模型，也会采用类似 Claude Fable 的发展路线？

GPT‑5.5‑Cyber在两项高难度的真实场景安全基准测试中同样表现优于GPT‑5.5：ExploitGym测试智能体能否将已知漏洞转化为可实现未授权代码执行的有效利用方案，GPT‑5.5‑Cyber得分39.5%，GPT‑5.5为25.95%；SEC-bench Pro评估复杂软件场景下的长周期漏洞发现与概念验证生成能力，GPT‑5.5‑Cyber得分69.8%，GPT‑5.5为63.1%。

基准测试只是能力的一个侧面。实践中真正关键的是：模型能否发现真实漏洞、区分有效问题与无效噪音，以及帮助防御者安全落地修复方案。随着协同披露工作陆续完成，OpenAI正持续评估该模型在复杂代码库与真实修复流程中的表现。

OpenAI一直与美国政府就网络安全策略保持沟通，包括本次发布内容，以及后续模型版本的筹备工作。其中包括与AI标准与创新中心（CAISI）持续合作，开展GPT‑5.5与5.5-Cyber的部署前测试；并与国家网络总监办公室（ONCD）、科学技术政策办公室（OSTP）协作，落实近期发布的行政命令（在新窗口打开）及相关行业标准。

对大多数防御者而言，搭载网络安全可信接入的GPT‑5.5与Codex Security仍是最合适的入门选择。GPT‑5.5‑Cyber面向经认证的防御者——其授权工作需要最前沿的网络安全能力与更宽松的使用权限，同时配套更严格的身份核验、运行监控、范围管控与审核机制。在Daybreak的早期实践中，GPT‑5.5与Codex Security已帮助防御者识别并验证了多款主流系统的漏洞，包括火狐浏览器、V8引擎、Safari浏览器、OpenBSD、FreeBSD以及HTTP/2协议实现。

携手安全生态共建防护

作为本次能力拓展的一部分，OpenAI联合头部安全软件与服务提供商，正式推出OpenAI Daybreak网络安全合作伙伴计划。参与计划的合作伙伴，可将搭载网络安全可信接入的GPT‑5.5（OpenAI面向绝大多数防御场景的主力模型），集成到其面向客户的安全产品与服务中。这既能让客户享受到模型的防御能力、提升软件韧性，又将模型的直接访问权限保留在合作方手中。

OpenAI还将与计划内的合作伙伴协作，持续完善安全保障、运行监控与滥用防范标准，确保这些能力在安全生态中得到负责任的部署。目前OpenAI正与首批合作伙伴推进落地，并计划在未来数月扩大覆盖，纳入更多组织。

Patch the Planet：推动开源领域修复落地

Patch the Planet倡议旨在帮助开源项目维护者完成从漏洞发现到修复落地的全流程。该倡议由OpenAI与Trail of Bits联合发起，HackerOne、Calif共同参与：OpenAI资助专业安全研究者，为其配备Codex Security与前沿模型，让他们直接与开源维护者协同工作。

开源软件支撑着各行业的产品、公共服务、开发工具与关键基础设施。一款广泛使用的网络函数库出现漏洞，可能影响数千个下游系统。但许多开源项目仅由极小的团队维护，时间与资金都十分有限。Linux基金会与哈佛大学的研究（在新窗口打开）显示，在其调研的主流开源项目中，94%的项目年度新增代码超90%的部分，由不到10名开发人员负责。

AI让更快、更多地发现并修复漏洞成为可能，却也给维护者增加了工作负担——他们需要筛选数千份报告，其中大量是低质量的误报。维护者不应只收到更多报告，却没有额外的能力完成修复。这正是Patch the Planet以专业人工安全审核为核心的原因。

每一次合作都始于安全研究者与项目维护者的沟通：维护者明确自身优先级、使用偏好与既定披露流程。随后，Patch the Planet的安全研究者会端到端管理工作——在漏洞与补丁提交给维护者前完成验证与去重，大幅减轻维护者负担，加快修复速度。

参与项目将获得ChatGPT Pro权限、Codex Security的条件访问权，以及用于核心开发、维护自动化与发布流程的API额度。

首批覆盖多个项目的五天冲刺中，已挖掘出数百个待审核问题，合并了数十个补丁（更多修复仍在推进），并搭建了可复用的模糊测试、变体分析、差异测试与基于规范的测试工作流。点击此处（在新窗口打开）可在Trail of Bits官方博客了解更多详情。

发现漏洞固然重要，但落地修复才能真正保护全球网络安全，而这需要协作与社区的共同支持。

保护关键基础设施与敏感系统

OpenAI还与全球各国政府及机构密切协作，提升其网络安全防御能力，保护关键基础设施。在筹备网络安全能力持续升级的AI模型过程中，OpenAI一直与美国政府及相关联邦机构紧密配合。过去一个月，OpenAI已与澳大利亚、加拿大、法国、德国、日本、韩国，以及欧盟网络安全局（ENISA）等欧盟机构，建立了网络安全可信接入合作伙伴关系。OpenAI还与英国政府在网络安全、测试评估及其他共同关注领域，建立了日益深化的可信合作。

OpenAI计划与符合资质的关键基础设施运营方（包括政府网络）直接合作，针对其运营的系统定制安全保障机制。这项工作的核心是：让先进AI更好地服务于防御者，同时提升恶意主体造成现实危害的门槛。

OpenAI还将与企业客户、可信合作伙伴协作，纳入其运营或防护的特定系统的背景信息与标识，强化网络安全保障机制，防范针对关键服务的恶意网络行为。

后续规划

Daybreak整合了AI模型、Codex Security、Patch the Planet倡议、专业研究者、项目维护者、安全合作伙伴、关键基础设施运营方与可信访问管控体系，助力人类防御者应对全新的安全挑战。

公共与私营部门的各类组织，都可与OpenAI Daybreak合作，对其开发与依赖的软件开展漏洞识别、验证与修复。开发人员与维护者可在自有代码上运行Codex Security、审查漏洞、协助落地修复。安全合作伙伴与从业者可借助OpenAI的前沿模型强化防御工具，快速将能力带给更多组织。

OpenAI的目标是：不再止步于用模型发现更多漏洞，而是迈向软件更安全、网络更具韧性的未来。