OpenAI 一天五弹砸向网络安全：修 Linux 内核、对标 Anthropic，AI 厂商的新护城河

Tue, 23 Jun 2026 15:00:00 +0800

一个 23 岁的漏洞，和它背后的新战场

OpenAI 在 6 月 22 日发了一篇很长的官方博客，叫《Patch the Planet》。里面提到一件具体的事：自家的模型在 OpenBSD 内核里挖出一个存在了 23 年的 use-after-free（释放后使用）漏洞，位置在 System V 信号量的实现里。按 OpenAI 研究人员的复现，一个没有特权的本地用户可以借这个漏洞把权限提到 root。

这种事放在五年前，属于顶尖安全实验室花几周才能干成的工作。现在它被写在 AI 公司的月度战报里，和 Linux 内核 30 多万行代码里挖出 24 个本地提权 PoC（概念验证）、让 Pwn2Own 柏林站 6 个 Firefox 参赛队里 5 个退赛这些事，列在同一段落。

本文的素材主要来自 OpenAI 官方博客《Patch the Planet》、Trail of Bits 的同步说明，以及 CyberPress、FourWeekMBA 等媒体的转述。涉及 benchmark 数字和"影响多少网站"这类断言，我都标注了口径，没有把它们直接当作独立事实背书。读者可以把这篇当成对 OpenAI 发布口径和社区反馈的一次梳理，而不是一次独立基准测试。

一日五弹：不只是发一个模型

把 6 月 22 日 OpenAI 在 Daybreak（破晓）项目下放出来的东西摊开，至少有五件：

一是 GPT-5.5-Cyber 的完整版。这是 GPT-5.5 的网络安全特化分支，训练时就在防御性安全任务上放开得更宽。按 OpenAI 公布的 CyberGym 跑分，它拿到 85.6%，高于同源 GPT-5.5 的 81.8%，也高于 Anthropic Mythos 5 的 83.8% 和 Claude Opus 4 的 73.1%。在另外两个偏实战的榜单 ExploitGym 和 SEC-bench Pro 上，它对 GPT-5.5 的领先幅度更明显（39.5% 对 25.95%、69.8% 对 63.1%）。访问被限制在经过验证的防御者（verified defenders）范围内，不向公众开放。

二是 Codex Security 插件的升级。这个插件从 2026 年 3 月的研究预览到现在，按 OpenAI 的说法已经扫描了超过 3000 万次提交、覆盖 3 万多个代码库，人工标记为"已修复"的发现超过 7 万条，自动处理的还有 50 万条以上。新版本能直接在开发者环境里生成带验证证据的严重度排序结果、画攻击路径、建威胁模型、产出针对具体代码库的补丁，还能把结果以 SARIF 和 CodeQL 查询的形式导进既有的漏洞管理流水线。

三是 Patch the Planet。这是和 Trail of Bits 合办、HackerOne 和 Calif 协作的开源软件维护者计划。第一批参与的 30 多个项目里包括 cURL、Go、Python、Sigstore、pyca/cryptography、NATS Server、aiohttp、freenginx、python.org。维护者拿到 ChatGPT Pro、有条件的 Codex Security 访问权，以及用于核心开发、自动化和发布流程的 API 额度。一次 5 天的冲刺里，Trail of Bits 的安全工程师配合模型发现数百个问题，合并了数十个补丁。

四是 Trusted Access for Cyber 的政府合作名单。澳大利亚、加拿大、法国、德国、日本、韩国，以及含 ENISA 在内的欧盟机构都在列。OpenAI 还和 CAISI（Center for AI Standards and Innovation）一起做 GPT-5.5 和 GPT-5.5-Cyber 的部署前测试，和美国国家网络总监办公室（ONCD）、科技政策办公室（OSTP）一起落实 2026 年 6 月的 AI 行政令。

五是被官方反复强调的那条产品线口号：Daybreak 是 OpenAI “为全球每个组织提供安全工具"的总工程名。GPT-5.5-Cyber 是模型底座，Codex Security 是开发者侧抓手，Patch the Planet 是公共品入口，Trusted Access 是政府侧信用背书。这不是五个孤立产品，而是一套完整的打法。

为什么是这个时间点：对标 Anthropic 的 Glasswing

FourWeekMBA 在 6 月 22 日的分析里把话说得很直接：Daybreak 是 OpenAI 对 Anthropic Project Glasswing（玻璃翼）的正面对答。后者是 Anthropic 那边把 Mythos 模型以较原始形态开放给 200 个安全组织的项目，按公开数据已经累计发现 23019 个漏洞。一个值得注意的细节是，Glasswing 在美国政府叫停 Fable 5 之后仍然在运行。

两家头部 AI 实验室在同一个赛道里对垒，本身就是一种判断：在所有 AI 应用场景里，网络安全是前沿能力"最立即有用"又"最政治正确"的那一个。写诗、画画、聊天，都可以被监管来回敲打；但帮 cURL 修漏洞、帮 Linux 内核找提权链，没人会公开反对。FourWeekMBA 把这种逻辑叫 Permission Layer（许可层），意思是 AI 厂商靠防御性安全建立的不只是产品，而是一种政府信任牌照——它让模型在被监管收紧时仍有一个"不能被关掉"的运行理由。

从这个角度看，OpenAI 和 Anthropic 争的不是谁的模型更高 1.8 个百分点，而是谁能先把自己写进关键基础设施的安全供应商名单。Glasswing 比 Daybreak 早、合作机构多（200 对 8），但 OpenAI 这次把 Patch the Planet 摆出来，是在用"修互联网公共底座"这件事抢公共品站位，政府侧 Trusted Access 的七国名单则在补政治信用。

三轴并行的真正意图

把五弹归类，能看清 OpenAI 想做的事其实是三条轴同时推进。

模型轴上，GPT-5.5-Cyber 解决的是"能不能”。85.6% 的 CyberGym 说明在"复现已知漏洞"这件事上它已经超过同代所有对手。把模型限制在 verified defenders 范围内，既是合规姿态，也是制造稀缺——越不让随便用，越显得强。

工具轴上，Codex Security 解决的是"开发者用不用得上"。把漏洞扫描塞进 Codex 这个写代码的 Agent 里，等开发者用同一个工具既写代码又扫代码，OpenAI 就同时占住了 bug 的生产端和检测端。这个布局比单独卖一个安全模型更值钱，因为它卡在日常工作流里，迁移成本极高。

生态轴上，Patch the Planet 解决的是"公共品站位"。互联网的底层软件是共享设施，谁来修这些设施就有政治意义。OpenAI 出模型、Trail of Bits 出安全工程师、维护者出代码，三方合力把开源软件的漏洞存量往下压。这件事短期不赚钱，但它在监管层面换回的东西，是单纯的 benchmark 数字买不到的。

三条轴合起来看，OpenAI 不是在卖一个"AI 安全产品"，而是在搭建一套让政府、开发者、维护者都离不开的网络安全基础设施。Snyk 在 6 月 23 日紧接着发布 Evo Agentic Development Security，从防御侧做了类似的押注。赛道已经不只是 OpenAI 对 Anthropic，而是整个产业在把"AI for Security"当作下一阶段的确定增量。

那些被拿出来炫耀的实战结果

OpenAI 在博客里列了一批已经修掉或正在披露的漏洞，挑几个有画面感的：

Linux 内核 3000 多万行代码里，模型标出安全相关组件，动态验证后产出 8 个内核指针信息泄露 PoC 和 24 个本地提权漏洞；
OpenBSD 那个 23 年的 use-after-free，可以让无特权本地用户提到 root；
FreeBSD 一轮专项里确认 34 个漏洞，产出 7 个本地提权 PoC；
dnsmasq 后续 2.92rel2 版本修掉的 6 个 CVE 里，Codex Security 独立命中了其中 4 个；
Calif 用 Codex 找到的"HTTP/2 Bomb"，是一种影响 NGINX、Apache、IIS、Pingora 等主流实现的拒绝服务手法，按 Calif 的分析，有 88 万以上暴露在公网的网站运行着受影响的服务器软件；
浏览器侧，Chrome V8 报了 5 个可利用漏洞，Safari 一周内报了 10 个以上，Firefox 在 Pwn2Own 柏林站前两天被 Mozilla 补掉的那个 WebAssembly 漏洞（CVE-2026-8390），让 6 个注册的 Firefox 参赛队里有 5 个退赛。

这些数字里有一部分（比如 88 万网站、Linux 内核行数、Codex Security 扫描的 commit 数）来自 OpenAI 和合作方的口径，独立复核需要时间。但即便是按发布方自己的说法打折，量级也足以说明：模型在漏洞挖掘和补丁生成这件事上，已经从"能演示"进入"能交付"的阶段。

对国内厂商意味着什么

国内做安全大模型和 Agent 的厂商，过去大多把卖点放在"我们能扫代码"“我们能写安全报告”。OpenAI 这套打法的参照意义在于，它把竞争维度从"单点能力"拉到了"全栈站位"。

第一，模型层必须有特化分支。通用大模型在安全任务上的表现，和专门训练过的 Cyber 分支差距明显（GPT-5.5 对 GPT-5.5-Cyber 在 ExploitGym 上是 25.95% 对 39.5%）。国内厂商如果还指望用同一个通用模型打所有场景，在安全这条线上会被拉开。

第二，工具层必须嵌进开发者工作流。Codex Security 的价值不是它扫得准，而是它长在写代码的那个 Agent 里。国内做 IDE 插件、CI 流水线扫描的厂商，需要思考怎么把自己的能力绑进开发者每天都在用的工具，而不是要求开发者专门打开一个安全平台。

第三，生态层必须敢做公共品。Patch the Planet 修的是 cURL、Python、Go 这些全世界都在用的开源项目。国内厂商如果能组织起类似的开源软件维护计划，带来的政府关系和行业信任回报，会比单纯卖几个安全模型大得多。

第四，政府侧的合规布局要前置。OpenAI 把七国政府和 ENISA 拉进 Trusted Access，把 CAISI、ONCD、OSTP 拉进预部署测试和行政令落实，这些动作让它的安全模型在政策收紧时有缓冲。国内厂商面对的监管环境不同，但"把合规做成护城河"这个思路是通用的。

四个产品，到底各管什么

回到开头那个问题：OpenAI 一天发这么多东西，彼此到底是什么关系？

可以这么拆。Daybreak 是总工程名，它不直接面向用户，而是一把伞。GPT-5.5-Cyber 是伞下的模型底座，决定"能挖多深的漏洞、能写多准的补丁"，是能力上限。Codex Security 是面向开发者的工具层，把模型能力翻译成 IDE 里点一下就能用的扫描和修复，是日常入口。Patch the Planet 是面向开源生态的公共品层，用模型加人力帮 cURL、Python 这些底层项目还技术债，是政治信用。Trusted Access for Cyber 是面向政府的合规层，让模型在七国和欧盟的关键基础设施里获得合法身份，是监管缓冲。

四者的分工边界很清楚：模型管能力，工具管触达，生态管公共品站位，政府关系管合规。任何一环单独拿出来都不够。GPT-5.5-Cyber 再强，如果没有 Codex Security 嵌进开发者工作流，它就只是个实验室跑分；Codex Security 再好用，如果没有 Patch the Planet 修开源软件、没有 Trusted Access 进政府名单，它在监管收紧时就没有"不能被关掉"的豁免理由。

这才是这次"一日五弹"真正值得看的地方。OpenAI 不是在发五个产品，它是在把网络安全这件事拆成能力、触达、生态、合规四层，然后一次性把每一层都占住。Anthropic 的 Glasswing 起步更早、合作机构更多，但 OpenAI 这一手的全栈意味更浓。接下来半年，看 Snyk、AWS、Google 怎么接这招，以及国内安全厂商里谁先意识到这场竞争已经不是"谁的模型扫得准"这么简单，会比看跑分有意思得多。

参考来源

以上来源用于观察 OpenAI 与合作方的发布口径及媒体转述，其中的 benchmark 数字、漏洞数量、受影响网站规模等断言均为发布方提供，不等同于独立基准测试。模型能力的横向对比（CyberGym、ExploitGym、SEC-bench Pro）建议结合各榜单的评测方法论文再作判断。

Codex-Security on 奇诺分享 | 重在分享