OpenAI ha lanzado Daybreak, una nueva iniciativa de ciberseguridad que integra capacidades de modelado de inteligencia artificial (IA) de vanguardia con Codex Security. Esto permite a las organizaciones identificar y parchear vulnerabilidades antes de que los atacantes encuentren una manera de explotar el mismo problema.
«Daybreak combina la inteligencia de los modelos OpenAI, la escalabilidad de Codex como un arnés de agentes y socios en todo el volante de seguridad para ayudar a hacer el mundo más seguro para todos», dijo la startup de IA. «Los defensores pueden incorporar revisiones de código seguro, modelado de amenazas, validación de parches, análisis de riesgos de dependencia, orientación sobre detección y corrección en sus ciclos de desarrollo diarios, haciendo que su software sea más resistente desde el principio».
Al igual que Mythos de Anthropic, la idea es aprovechar la IA para inclinar la balanza a favor de los defensores, permitiéndoles detectar y abordar problemas de seguridad antes de que sean descubiertos por malos actores. Actualmente, el acceso a la herramienta está estrictamente controlado y OpenAI anima a las organizaciones interesadas a solicitar un análisis de vulnerabilidades o ponerse en contacto con su equipo de ventas.
Daybreak aprovecha Codex Security para crear modelos de amenazas editables para repositorios específicos que se centran en rutas de ataque realistas y código de alto impacto, identificando y probando vulnerabilidades en un entorno aislado y recomendando soluciones.
Este esfuerzo se basa en tres modelos: GPT-5.5 (con protecciones estándar para uso general), GPT-5.5 con Trusted Access for Cyber (para trabajo de defensa verificado en entornos permisivos) y GPT-5.5-Cyber (un modelo permisivo para equipos rojos, pruebas de penetración y verificación controlada).
OpenAI dijo que varias empresas líderes, incluidas Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, Oracle, Palo Alto Networks y Zscaler, ya han integrado estas capacidades bajo su iniciativa Trusted Access for Cyber , y agregó que trabajará con socios de la industria y el gobierno para implementar «más modelos cibernéticos» en el futuro.
Esta implementación se produce cuando las herramientas de inteligencia artificial reducen el tiempo necesario para descubrir posibles problemas de seguridad que de otro modo pasarían desapercibidos, convirtiendo lo que antes requería mucho tiempo y esfuerzo en un período de tiempo mucho más corto. Como resultado, el proceso de parcheo puede resultar difícil de mantener incluso en condiciones ideales.
A principios de marzo de este año, HackerOne suspendió su programa de recompensas por errores, citando el equilibrio cambiante entre el descubrimiento de vulnerabilidades y la capacidad de los mantenedores de código abierto para abordarlas. Se cree que esto se debe a que la investigación basada en la IA ha llevado a un aumento en la cantidad de nuevos defectos y la velocidad a la que se identifican.
Esto también tuvo el efecto secundario de la llamada fatiga de triaje. Los gerentes de proyecto tienen que examinar una gran cantidad de informes de vulnerabilidad, algunos de los cuales pueden ser plausibles, pero pueden ser enteramente una invención del modelo de IA.
A medida que la IA reduce la barrera para descubrir fallas de seguridad, empresas como Anthropic, Google y OpenAI están posicionando cada vez más a los agentes de seguridad de IA como una nueva capa operativa para abordar los cuellos de botella de remediación y proteger la infraestructura digital de posibles vulnerabilidades.
El investigador de seguridad Himanshu Anand dijo en una publicación publicada la semana pasada que «la política de divulgación de 90 días está muerta» porque los modelos de lenguaje a gran escala (LLM) comprimen los plazos de divulgación y explotación a casi cero.
«Si 10 investigadores no relacionados pueden descubrir el mismo error en seis semanas, y una IA puede convertir una diferencia de parche en un exploit funcional en 30 minutos, ¿qué protege exactamente un período de gracia de 90 días? Nadie», dijo Anand.
Source link
