OpenAI’s Daybreak ønsker å eie patchen, ikke bare feilen

OpenAI utvidet sitt Daybreak-sikkerhetsprogram den 22. juni 2026, og det er lett å lese annonseringen som enda en modellutgivelse med en sikkerhetsmerke på. Den fullstendige utgivelsen av GPT-5.5-Cyber, en oppdatert Codex Security-plugin, et partnerprogram og et åpen kildekode-prosjekt kalt Patch the Planet ble alle utgitt samtidig. Les det på denne måten og du går glipp av den faktiske bevegelsen.

Bevegelsen er i en linje i innlegget: i årevis har flasken i sikkerheten vært å finne sårbarheter, og nå er flasken å reparere dem.

AI har snudd på hva som er vanskelig i jobben. Modellene kan allerede crawle en stor kodebase, spore en angrepsvei og fremheve feil som tidligere tok en spesialist uker å grave ut. Så forsvarerne mangler ikke lenger funn. De er begravd i dem.

Daybreak er OpenAI’s innsats på å eie den andre halvdelen av jobben, den delen som faktisk lukker hullene.

Dette er et større krav enn det høres ut som.

Se på hva OpenAI legger vekt på. Codex Security, som har vært i forskningsforhånd siden mars 2026, har scannet over 30 millioner commits over mer enn 30 000 kodebasier. Og tallet de leder med er ikke feil funnet, men funn fikset: over 70 000 merket som løst av menneskelige revisorer, over en halv million lukket automatisk.

Pitchet for pluginen er “en sikkerhetsingeniør ved siden av hver utvikler”, en som ikke bare markerer en problem, men også sjekker om den sårbare koden er tilgjengelig, skriver en fikse og tester den før en menneskelig godkjenner.

Hvis noen kjører uenettsomt agenter mot en ekte kodebase forstår de hvorfor det betyr mer enn en annen skanner. En skanner som gir deg 4 000 funn og går sin vei har gjort din uke verre, ikke bedre.

Det som faktisk flytter risikoen er den kjedelige strekken etter advarselen: valider, fikse, teste, sende. OpenAI så på den gapen og bestemte seg for at det er produktet.

GPT-5.5-Cyber er motoren for de harde sakene. Den traff 85,6% på CyberGym mot 81,8% for vanlig GPT-5.5, og hoppet fra ca. 26% til nesten 40% på ExploitGym, benchmarket for å gjøre en kjent feil til arbeidende kodeeksekvering.

Sitt med det andre tallet. Den samme evnen som lar en forsvarer bevise at en sårbarhet er virkelig er evnen som lar en angriper våpne den.

OpenAI’s svar er å begrense den: GPT-5.5-Cyber sendes bare gjennom en “begrenset utgivelse til pålitelige forsvarere” med verifisering og overvåking, mens alle andre får den mildere GPT-5.5 med Tillitsfull tilgang for Cyber. Den sterkeste versjonen av verktøyet er ikke for salg. Du må godkjennes for det.

Patch the Planet er delen som faktisk burde registreres for noen som sender programvare, som er alle nå. OpenAI henviser til en Linux Foundation og Harvard-studie som finner at 94% av de bredt brukte åpne kildekode-prosjektene som ble undersøkt hadde færre enn ti utviklere som skrev mer enn 90% av koden.

Bibliotekene som holder opp din stak, dine kunders stakker og mye kritisk infrastruktur vedlikeholdes av en håndfull overarbeidede personer, og AI har nettopp gjort deres innboks verre ved å generere flere feilrapporter enn de noen gang kunne triage.

Initiativet finansierer sikkerhetsforskere, utstyrer dem med Codex Security og peker dem mot disse vedlikeholderne, validerer og fjerner duplikater fra flommen før den når et menneske, og hjelper med å lande fiksen.

Men merk formen på det. Vedlikeholderne får ChatGPT Pro, betinget Codex-tilgang og API-kreditter. Evnen flyter fra ett selskap, på vilkår som selskapet setter, inn i den åpne kildekode-samfunnet som alt annet er bygget på.

Dette er filantropi og distribusjon samtidig. Den samme logikken går gjennom partnerlisten — Cloudflare, CrowdStrike, Palo Alto, Cisco, dusinvis flere — som kan bruke modellen i sine egne produkter, men ikke får direkte tilgang til den sterke en heller. OpenAI sitter i midten av alt dette.

Daybreak er sannsynligvis bra for sikkerheten i gjennomsnitt. Fikset biblioteker, raskere retting, ekte fikser som lander i ekte infrastruktur. Hvis du kjører noe, vil du sannsynligvis dra nytte av det nedstrøms uten å noen gang signere en kontrakt.

Men strukturen under er den samme som viser seg overalt AI blir virkelig nyttig: evnen er virkelig, tilgangen er begrenset, og selskapet som finner feilene er nå også selskapet som selger fiksen og bestemmer hvem som teller som en “pålitelig forsvarer”.

Sikkerhet har alltid hatt leverandører. Hva som er nytt er laboratoriet som setter tempo for trusselen også er det som selger deg rettingen, akselerer oppdagelse på den ene siden og fiksen på den andre.

Dette er ikke en grunn til å sitte det ut. GPT-5.5 med Codex Security er riktig utgangspunkt for de fleste lag, sier OpenAI, og for en gangs skyld ligner markedsføringen og virkeligheten sannsynligvis.

Hvis du har en baklogge med funn som råtner i en billett kø, er et verktøy som triagerer og fikser i skala verdt å kjøre denne uken. Kjør det på kode du eier, hold en menneskelig på hvilke fikser som sendes, og behandling utgangen som noe agentutgang: rask, nyttig og ikke å stole blindt på.

Bare vær tydelig på hva du plugger inn. Fikse-laget blir infrastruktur, og infrastruktur har eiere. Bruk gevinsten. Ikke forveksle det med ditt eget.