OpenAI a lancé Daybreak cette semaine — sa réponse à Mythos et au Project Glasswing d'Anthropic — utilisant un nouveau modèle GPT-5.5-Cyber pour trouver les vulnérabilités logicielles à l'échelle. Apple, Microsoft, Google et Amazon roulent Glasswing depuis avril ; Daybreak met maintenant OpenAI dans la même pièce. Pour quiconque fait tourner du logiciel à une échelle significative, la couche outillage "l'IA trouve les bugs avant les attaquants" vient de devenir contestée entre deux labos frontière.
Daybreak combine GPT-5.5-Cyber avec Codex Security, qui construit un modèle de menace éditable à partir du dépôt logiciel d'une entreprise et automatise la surveillance des vulnérabilités à plus haut risque. Les problèmes trouvés sont investigués dans un environnement isolé. OpenAI livre trois niveaux de modèle : GPT-5.5 (usage général, garde-fous standards), GPT-5.5 avec Trusted Access for Cyber (travail défensif vérifié, environnements autorisés), et GPT-5.5-Cyber (workflows autorisés spécialisés, vérification plus forte et contrôles au niveau du compte). OpenAI affirme que GPT-5.4-Cyber — la version précédente — a contribué à corriger plus de 3 000 vulnérabilités. Aucune vérification indépendante ni détail de scope n'est public pour l'instant. L'accès demande un vetting formel d'OpenAI ; la plateforme est en preview, tarif non listé. Déploiement UE en cours ; Anthropic aurait retenu Mythos des mêmes régions.
Le problème dual-use au centre : un modèle qui peut trouver des vulnérabilités peut les trouver pour la défense ou l'offense, ce qui est exactement pourquoi Anthropic et OpenAI restreignent l'accès. Anthropic a lancé Mythos en avril avec des restrictions similaires ; CNBC a rapporté que le lancement a déclenché une "hystérie cybersécurité" parmi les institutions du secteur financier. Le pivot d'OpenAI de critiquer les restrictions d'Anthropic fin avril à imposer les siennes quelques semaines plus tard est le signal visible que les labos frontière sont alignés sur le fait que ça n'est pas sûr à livrer largement. Le mouvement plus profond : la cybersécurité IA devient une catégorie de produit lab-frontière au côté des agents de code, pas un produit de vendeur de sécurité. Ça change vers qui les petites orgs se tournent pour de l'aide — et qui elles ne peuvent atteindre parce que les barres de vetting montent. La liste d'adoption Glasswing (Apple, Microsoft, Google, Amazon) est aussi un aveu "l'infra construite par IA a maintenant besoin de sécurité construite par IA", puisque ces quatre sont les plus gros clients de livraison de code assistée par IA.
Daybreak est preview-only, accès sur demande, tarif TBD. Pour la plupart des constructeurs l'implication pratique n'est pas "j'utiliserai Daybreak" mais "les labos contestent maintenant l'infra cybersécurité directement". Si votre org est assez grande pour qualifier, les deux plateformes ciblent des problèmes qui se chevauchent avec des assomptions de modèle de menace différentes et valent la peine d'être évaluées côte à côte. Pour tous les autres, le ruissellement vers les outils de sécurité mainstream — Snyk, Semgrep, GitHub Advanced Security — au cours de la prochaine année est l'histoire à surveiller. Le chiffre de 3 000 vulnérabilités est le genre de revendication qui veut une corroboration indépendante avant d'atterrir dans les decks d'achat.