A OpenAI anunciou a 22 de junho de 2026 a expansão do Daybreak, o seu programa de cibersegurança, com o lançamento da versão completa do GPT-5.5-Cyber, um modelo de inteligência artificial concebido para encontrar e ajudar a corrigir falhas em software. O modelo fica disponível apenas para «defensores verificados», equipas de segurança cujo trabalho autorizado justifica as capacidades mais avançadas, e chega acompanhado de uma iniciativa de código aberto e de um programa de parceiros.
O contexto, segundo a própria empresa, é uma mudança no centro de gravidade da cibersegurança. Durante anos, o difícil era descobrir vulnerabilidades; com os modelos de IA a acelerarem essa descoberta, o estrangulamento passou a ser outro: corrigir tudo o que se encontra, antes que um atacante o use.
O que o GPT-5.5-Cyber faz, e o que a OpenAI mede
A empresa descreve-o como o seu modelo mais forte até à data a localizar e a ajudar a reparar vulnerabilidades, mantendo a inteligência geral da família GPT-5.5. Na prática, segundo a OpenAI, percorre grandes bases de código, verifica se o código vulnerável é alcançável, valida o problema em ambiente controlado, desenvolve e testa um patch (uma correção de software) e prepara as provas para revisão humana.
Os números vêm de testes padronizados (benchmarks). No CyberGym, que mede se um agente reproduz vulnerabilidades conhecidas, o GPT-5.5-Cyber atingiu 85,6%, contra 81,8% do GPT-5.5, o valor mais alto que a OpenAI diz ter medido num único modelo. A empresa reporta ainda 39,5% (contra 25,95%) no ExploitGym, que avalia a capacidade de transformar uma falha num exploit funcional, ou seja, código capaz de correr comandos sem autorização na máquina-alvo; e 69,8% (contra 63,1%) no SEC-bench Pro. A OpenAI ressalva que os benchmarks são só parte da história e que continua a avaliar o modelo em projetos reais à medida que termina a divulgação responsável dessas falhas.
Acesso restrito a um modelo mais permissivo
A novidade traz uma tensão assumida pela própria empresa: o GPT-5.5-Cyber é, de propósito, mais permissivo do que os modelos genéricos, isto é, recusa menos pedidos sensíveis de segurança. Por isso não está aberto a todos. A OpenAI mantém-no numa distribuição limitada a defensores verificados, «com verificação reforçada, monitorização, controlos delimitados e revisão», e diz que, para a maioria, o ponto de partida certo continua a ser o modelo comum. Em paralelo, lançou o Daybreak Cyber Partner Program, que deixa fornecedores de segurança usar a tecnologia nos seus produtos sem darem acesso direto ao modelo.
Para sustentar a escala, a empresa aponta ao Codex Security, a ferramenta que integra estas capacidades no fluxo de quem programa. Desde o lançamento em pré-visualização em março, diz ter analisado mais de 30 milhões de alterações de código em mais de 30 000 bases de código; mais de 70 000 problemas foram marcados como corrigidos por revisores humanos e mais de 500 000 foram dados como resolvidos automaticamente.
Código aberto e o ângulo europeu
A terceira peça é o Patch the Planet, uma iniciativa criada com a Trail of Bits, em colaboração com a HackerOne, para financiar investigadores que trabalham diretamente com quem mantém projetos de código aberto (open-source). Aderiram mais de 30 projetos, incluindo nomes de que dependem milhões de sistemas, como o cURL, o Go, o Python, o Sigstore e o pyca/cryptography. O problema está num estudo citado pela OpenAI, da Linux Foundation e de Harvard: em 94% dos projetos muito usados que analisou, menos de dez programadores respondiam por mais de 90% do código de um ano. São equipas pequenas a aguentar infraestrutura crítica, e a IA, ao gerar ainda mais relatórios, também lhes aumenta o trabalho.
Há um ângulo europeu. A empresa afirma ter estabelecido no último mês parcerias de acesso de confiança com a Austrália, o Canadá, a França, a Alemanha, o Japão, a Coreia do Sul e instituições da União Europeia como a ENISA, a agência europeia de cibersegurança. Diz também manter diálogo com o governo dos Estados Unidos sobre a preparação dos próximos modelos.
Por agora, a leitura honesta é de promessa por confirmar. As capacidades que ajudam a fechar falhas são as mesmas que, noutras mãos, as abririam, e a salvaguarda escolhida é processual: limitar o acesso e vigiar o uso. Resta saber se essa fronteira aguenta, e os números que a sustentam são, na maioria, da própria empresa, à espera de avaliação independente.
Fontes: OpenAI, The Hacker News.
#StaySafe
🙏🖖
