OpenAI đã chính thức ra mắt Daybreak, một sáng kiến an ninh mạng mới kết hợp các khả năng của mô hình trí tuệ nhân tạo (AI) tiên tiến nhất và Codex Security để giúp các tổ chức xác định và vá các lỗ hổng trước khi những kẻ tấn công kịp thời lợi dụng.
"Daybreak kết hợp trí thông minh của các mô hình OpenAI, khả năng mở rộng của Codex dưới dạng một hệ thống tác nhân (agentic harness) và các đối tác của chúng tôi trong hệ sinh thái bảo mật để giúp thế giới trở nên an toàn hơn cho mọi người," công ty khởi nghiệp AI cho biết. "Những người phòng thủ có thể đưa việc đánh giá mã nguồn bảo mật (secure code review), mô hình hóa mối đe dọa (threat modeling), xác thực bản vá (patch validation), phân tích rủi ro phụ thuộc (dependency risk analysis), phát hiện và hướng dẫn khắc phục vào chu trình phát triển hàng ngày để phần mềm trở nên linh hoạt hơn ngay từ đầu."
Tương tự như Mythos của Anthropic, ý tưởng chủ đạo là tận dụng AI để thay đổi cán cân có lợi cho phe phòng thủ, giúp phát hiện và giải quyết các vấn đề bảo mật trước khi chúng bị các tác nhân xấu tìm thấy. Hiện tại, việc truy cập vào bộ công cụ này vẫn được kiểm soát chặt chẽ, OpenAI khuyến khích các tổ chức quan tâm đăng ký quét lỗ hổng hoặc liên hệ với đội ngũ bán hàng của họ.
Cách thức hoạt động của Daybreak
Daybreak tận dụng Codex Security để xây dựng một mô hình đe dọa (threat model) có thể chỉnh sửa cho một kho lưu trữ (repository) cụ thể, tập trung vào các đường dẫn tấn công thực tế và mã nguồn có tác động cao, từ đó xác định và thử nghiệm các lỗ hổng trong môi trường cô lập và đề xuất các biện pháp khắc phục.
Nỗ lực này được xây dựng trên nền tảng của ba mô hình chuyên biệt:
- GPT-5.5: Phiên bản tiêu chuẩn với các biện pháp bảo vệ thông thường cho mục đích sử dụng chung.
- GPT-5.5 với Trusted Access for Cyber: Dành cho các công việc phòng thủ đã được xác minh trong môi trường được ủy quyền.
- GPT-5.5-Cyber: Một mô hình cho phép thực hiện red teaming, penetration testing và xác thực có kiểm soát.
Nhiều tập đoàn lớn như Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, Oracle, Palo Alto Networks và Zscaler đã bắt đầu tích hợp các khả năng này theo sáng kiến Trusted Access for Cyber. OpenAI cho biết họ đang hợp tác với các đối tác trong ngành và chính phủ để triển khai "các mô hình có khả năng bảo mật cao hơn" trong tương lai.
Thách thức về tốc độ và sự mệt mỏi khi phân loại
Việc triển khai Daybreak diễn ra trong bối cảnh các công cụ AI đã rút ngắn đáng kể thời gian phát hiện các lỗ hổng bảo mật tiềm ẩn, biến những công việc từng tốn nhiều thời gian và công sức thành những nhiệm vụ ngắn hạn. Kết quả là, quy trình vá lỗi (patching) có thể gặp khó khăn để theo kịp ngay cả trong những điều kiện lý tưởng.
Vào đầu tháng 3 vừa qua, HackerOne đã tạm dừng chương trình bug bounty của mình với lý do có sự thay đổi trong cán cân giữa việc phát hiện lỗ hổng và khả năng giải quyết chúng của những người duy trì mã nguồn mở. Họ cho rằng các nghiên cứu được hỗ trợ bởi AI đã dẫn đến sự gia tăng đột biến về số lượng lỗ hổng mới và tốc độ xác định chúng.
Điều này cũng dẫn đến một tác dụng phụ gọi là "tình trạng mệt mỏi khi phân loại" (triage fatigue), nơi những người duy trì dự án phải sàng lọc qua một lượng lớn các báo cáo lỗ hổng, trong đó có một số báo cáo nghe có vẻ hợp lý nhưng thực chất là do các mô hình AI "ảo tưởng" (hallucinated) tạo ra.
Kỷ nguyên của các tác nhân bảo mật AI
Khi AI hạ thấp rào cản trong việc tìm kiếm các lỗi bảo mật, các công ty như Anthropic, Google và OpenAI ngày càng định vị các tác nhân bảo mật AI như một lớp vận hành mới để giải quyết nút thắt cổ chai trong việc khắc phục và bảo vệ cơ sở hạ tầng kỹ thuật số.
Trong một bài đăng tuần trước, nhà nghiên cứu bảo mật Himanshu Anand nhận định rằng "chính sách công bố lỗ hổng trong 90 ngày đã chết", khi các mô hình ngôn ngữ lớn (LLMs) nén các mốc thời gian công bố và khai thác (exploit) xuống gần bằng không.
"Khi 10 nhà nghiên cứu không liên quan cùng tìm thấy một lỗi trong 6 tuần và AI có thể biến một bản so sánh bản vá (patch diff) thành một exploit hoạt động chỉ trong 30 phút, thì chính xác là cửa sổ 90 ngày đang bảo vệ ai? Không ai cả," Anand khẳng định.
