OpenAI anunció su nueva iniciativa llamada Patch the Planet para ayudar a encontrar, verificar y parchear vulnerabilidades en el ecosistema de código abierto. El programa, implementado en el marco de la iniciativa Daybreak de OpenAI, se lleva a cabo en cooperación con la empresa de ciberseguridad Trail of Bits.
Según la declaración de OpenAI, Patch the Planet tiene como objetivo trabajar con equipos de proyectos de código abierto para verificar vulnerabilidades, desarrollar parches, respaldar procesos de prueba y gestionar procesos de divulgación coordinados. Por tanto, su objetivo es reducir la carga de trabajo de los desarrolladores de código abierto que ya trabajan con tiempo y recursos limitados.
Dentro del alcance del programa, los investigadores de seguridad de Trail of Bits trabajarán con equipos responsables de los procesos de mantenimiento de proyectos de código abierto. Los investigadores apoyarán los procesos de análisis, desarrollo de parches, pruebas y documentación aprovechando los modelos y herramientas centrados en la ciberseguridad de OpenAI, como Codex Security. OpenAI también trabajará con HackerOne y California para ampliar la clasificación de vulnerabilidades, la divulgación coordinada y la investigación de seguridad enfocada.
Entre los proyectos que participan en el programa en la primera fase: cURL, servidor NATS, pyca/criptografía, Sigstore, aiohttp, proyecto Go, freenginx, Python Y python.org Está ubicado. OpenAI afirma que estos proyectos desempeñan un papel fundamental en áreas ampliamente utilizadas como redes, criptografía, cadena de suministro de software e infraestructura lingüística. La empresa afirma que en el próximo período se incluirán nuevos proyectos en el programa.
Según la información compartida por OpenAI, los ingenieros de Trail of Bits comenzaron a trabajar a tiempo completo en 19 proyectos de código abierto junto con Codex y GPT-5.5-Cyber. Como resultado de los estudios iniciales, se identificaron cientos de problemas de seguridad y se combinaron decenas de parches. Además, también se han creado infraestructuras de seguridad reutilizables, como infraestructuras de fuzzing, canales de análisis que aprovechan CVE anteriores, sistemas de prueba diferenciales, modelos de amenazas y procesos de prueba más sólidos.
Lo llamativo del programa es que la inteligencia artificial no envía alertas de gran volumen directamente a los equipos responsables de los procesos de mantenimiento de los proyectos. OpenAI enfatiza que cada hallazgo es revisado manualmente por los ingenieros de Trail of Bits antes de llegar a los equipos. En este proceso, se eliminan los falsos positivos, se comparan los hallazgos con la documentación del proyecto y los modelos de amenazas, se reevalúa la gravedad y se lleva a cabo el proceso de parcheo de acuerdo con las preferencias de los equipos.