OpenAI Daybreak, 취약점 발견보다 패치 자동화에 초점

보안 AI의 병목이 취약점 발견에서 패치 착지로 옮겨가고 있다. OpenAI가 6월 22일 공개한 Daybreak 확장은 Codex Security, GPT-5.5-Cyber, 보안 파트너 프로그램, Patch the Planet을 한데 묶어 취약점 검증과 수정까지 밀어붙이는 구조다.

가장 눈에 띄는 숫자는 두 갈래다. Codex Security cloud 연구 미리보기는 3월 이후 30,000개 이상 코드베이스와 3,000만 개 이상 커밋을 스캔했고, 사람이 70,000건 이상을 수정 완료로 표시했다. 자동으로 수정 완료 판정된 항목은 500,000건을 넘는다. 보안팀이 알림을 받는 데서 끝나는 흐름이 아니라, 공격 경로 확인, 재현 근거, 코드베이스별 패치 제안, SARIF나 CodeQL 쿼리 같은 기존 도구 연동까지 이어지는 방식이다.

모델 쪽에서는 GPT-5.5-Cyber가 전면에 나왔다. OpenAI는 이 모델이 CyberGym 단일 모델 평가에서 85.6%를 기록해 GPT-5.5의 81.8%를 넘었다고 밝혔다. ExploitGym에서는 39.5% 대 25.95%, SEC-bench Pro에서는 69.8% 대 63.1%로 제시됐다. 숫자만 보면 공격 역량처럼 보일 수 있지만, 접근은 검증된 방어자와 허가된 작업으로 제한된 Trusted Access for Cyber 흐름에 묶인다.

오픈소스 쪽 움직임도 크다. OpenAI의 Daybreak 글은 Patch the Planet에 cURL, Go, Python, Sigstore, pyca/cryptography 등 30개 이상 프로젝트가 초기 참여한다고 설명한다. 별도 글에서는 Trail of Bits가 19개 오픈소스 프로젝트에서 Codex와 GPT-5.5-Cyber를 전담 활용해 수백 건의 보안 이슈를 검토했고, 수십 개 패치를 이미 병합했다고 적었다.

중요한 대목은 OpenAI가 발견 사례를 운영체제, 네트워크, 브라우저로 나눠 제시했다는 점이다. Linux kernel에서는 8개 커널 포인터 정보 유출 PoC와 24개 로컬 권한 상승 exploit, FreeBSD에서는 34개 취약점과 7개 로컬 권한 상승 PoC가 언급됐다. dnsmasq와 HTTP/2, V8, WebKit, Firefox WebAssembly 취약점 사례도 포함됐다.

관전 포인트는 성능보다 거버넌스다. 취약점 자동 발견은 방어자에게도 부담을 만든다. OpenAI가 연구자 검토, 중복 제거, 심각도 재평가, 조율된 공개를 강조한 이유도 여기에 있다. Daybreak가 실제로 가치가 있으려면 더 많은 경고가 아니라, 유지보수자가 받아들일 수 있는 재현 가능한 패치가 꾸준히 나와야 한다.