文章总结： OpenAI推出Daybreak网络安全计划，采用GPT-5.5与CodexSecurity构建代理框架，实现自动威胁建模与漏洞排查。文章指出AI正重塑代码安全底层逻辑，传统扫描工具难以匹配AI编码速度，需将安全检测嵌入开发链路。长亭科技提出AI同时承担编码、审计、降噪三重角色，强调工程闭环能力是实现可验证、可修复安全方案的关键。 综合评分： 87 文章分类： 代码审计,漏洞分析,AI安全,安全开发,解决方案

又一家AI巨头入局代码安全，但安全厂商强在工程闭环

长亭安全观察

2026年6月23日 17:00 北京

在小说阅读器读本章

去阅读

 6月22日，大模型厂商在网络安全上又有新的动作。

OpenAI发布了Daybreak网络安全计划,主打“原生防御（resilient by design）”理念：GPT-5.5 加 Codex Security 组成代理框架，接入企业代码库后，自动构建威胁模型、排查高危路径、验证补丁。

OpenAI该举措被视为对Anthropic Mythos漏洞挖掘能力的直接战略回应，显示出大模型巨头都开始将网络安全作为企业级服务的核心战场。此前Anthropic因安全风险将Mythos限制于“Glasswing”计划，才上线3天就被下架的Fable 5也是因为安全能力太强，无法有效管控被选择全球一刀切暂停访问。

时间推到半年前，当时行业还在争论 AI 漏洞挖掘的安全边界。现在头部大模型公司纷纷把代码安全推到前台。硅谷巨头的叙事逻辑基本差不多，用最强模型做漏洞挖掘和自动修复，做网络安全的底层操作系统。巨头的密集对垒，呈现出一个清晰的趋势：

AI 正在重塑代码安全的底层逻辑。

代码安全不是新需求，SAST、SCA、渗透测试、代码审计，这些能力在安全行业存在了十几年。但当AI Coding 大规模普及以后，代码安全被推到了C位。

AI Coding让代码产出量快速上升，提交频率拉高，业务逻辑复杂度跟着水涨船高。安全问题的发生窗口被压缩，传统扫描的节奏跟不上生成速度。企业采购模型时，开始关注代码写完之后怎么审、怎么验、怎么修复，安全能力正在从附加项变成基础项。

Daybreak 把“原生防御”写进产品定义，对准的就是这个缺口。模型厂商从代码生成开始切入，把安全检测嵌进同一段链路，打破了传统代码安全的市场边界。

代码安全长期以来有一个焦点问题：能报风险的工具很多，能交出可用结论的工具很少。

研发团队接到的是一堆疑似风险的报告，得自己判断能不能触发、影响范围多大、修复后有没有回归问题。从发现到确认的过程，消耗的人力经常比修复本身更大。

OpenAI 援引的数据显示，大模型在语法正确率上超过 90%，但安全测试集通过率仅约 55%。这意味着接近一半的 AI 生成代码天然携带高风险漏洞。当 AI 编码工具将代码产出速度提升数倍，人工审计彻底成为瓶颈。

纯靠大模型推理做代码审计，有几个绕不过去的问题。结果不够稳定，误报率不好控制，确认成本下不来。企业部署时还要面对源码不出域、权限管控、多语言兼容、存量系统对接。这些是项目落地的基本线。

长亭科技的回应是让 AI 同时做“矛”和“盾”。码力的 AI 研发工程师负责需求拆解和代码编写，AI 安全工程师负责同步审计和修复建议，AI 降噪工程师负责结果治理。三个虚拟工程师角色形成闭环，在效率与安全之间找到动态平衡。MonkeyScan 则更聚焦独立开发者和开源使用者的场景，提供低门槛的代码安全复查，给 AI 生成的代码补一轮安全检查。

AI时代，随着大模型厂商的下场，代码安全的市场预期不断被抬高。AI巨头用旗舰模型打标杆、抢生态位，国内厂商用工程化能力解决落地问题。两者回答的是同一个命题：当 AI 让代码写得越来越快，安全必须从交付前的一道工序变成编码中的一个自然环节。

代码安全工具应该理解业务逻辑，应该给出可验证结论，应该自动校验补丁，应该留下审计证据。这是AI时代研发模式的切换，最终验证的是企业把每一次安全判断做成可验证、可修复、可追溯的工程闭环能力。

*本文资讯内容编自网络公开报道

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全观察 《又一家AI巨头入局代码安全，但安全厂商强在工程闭环》