Während Anthropic mit Project Glasswing seit Monaten zeigt, wie gut Claude Sicherheitslücken aufspürt, zieht OpenAI nach. Am 22. Juni hat das Unternehmen sein Cybersecurity-Programm Daybreak deutlich erweitert — und mit ‘Patch the Planet’ eine Initiative gestartet, die sich gezielt an Open-Source-Maintainer richtet.
Was angekündigt wurde
Drei Dinge auf einmal: Die volle Version des spezialisierten Modells GPT-5.5-Cyber, ein Codex-Security-Plugin (Lücken direkt in Codex finden, validieren und fixen) und das Programm Patch the Planet — gebaut mit den Sicherheitsfirmen Trail of Bits und HackerOne. Die Idee: KI-gestützte Schwachstellen-Suche plus menschliche Experten-Prüfung, über die komplette Kette von Fund über Validierung und Offenlegung bis zum getesteten Patch.
Die Benchmarks sind ansagbar: GPT-5.5-Cyber setzt mit 85,6 Prozent auf CyberGym einen neuen Bestwert (GPT-5.5: 81,8 Prozent). Konkreter wird es bei den Ergebnissen: Im Linux-Kernel hat das Modell sicherheitsrelevante Komponenten über mehr als 30 Millionen Codezeilen analysiert und unter anderem 8 Proof-of-Concepts für Kernel-Pointer-Leaks sowie 24 Exploits für lokale Rechteausweitung erzeugt. Trail of Bits hat Vollzeit-Leute auf 19 Open-Source-Projekte angesetzt — bereits hunderte Probleme gefunden und dutzende Patches gemerged.
Der Haken bleibt der gleiche
Man muss ehrlich sein: Genau das Modell, das Lücken findet und validiert, könnte sie auch ausnutzen. OpenAI weist das auf ExploitGym sogar selbst aus — GPT-5.5-Cyber schreibt aus bekannten Lücken zuverlässiger funktionierende Exploits als der Vorgänger. Das ist die Dual-Use-Realität jedes guten Cyber-Modells: Verteidigung und Angriff sind dieselbe Fähigkeit, nur mit anderem Vorzeichen.
Meine Einordnung
Spannend ist hier weniger das einzelne Modell als das Muster. Anthropic und OpenAI liefern sich beim Thema KI-Cybersicherheit ein offenes Rennen — Glasswing gegen Daybreak. Und beide haben gemerkt: Der größte Hebel liegt nicht im hauseigenen Code, sondern in der Open-Source-Infrastruktur, auf der das halbe Internet läuft und die oft von wenigen, überlasteten Maintainern gepflegt wird.
Wenn KI dort wirklich im Akkord echte Lücken stopft, ist das ein handfester Gewinn für alle — auch für die, die nie ein Wort über LLMs verlieren. Vorausgesetzt, die Verteidiger bleiben schneller als die Angreifer. Genau das ist die Wette.
Quellen: OpenAI: Patch the Planet, TestingCatalog, SecurityBrief