OpenAI lancia Patch the Planet: l’IA aiuterà i progetti open source a trovare e correggere le vulnerabilità

OpenAI continua a investire nella sicurezza informatica e amplia ulteriormente il progetto Daybreak, l’iniziativa presentata nelle scorse settimane con l’obbiettivo di mettere l’intelligenza artificiale al servizio dei professionisti della cybersicurezza. La novità più interessante annunciata dall’azienda si chiama Patch the Planet e punta ad affrontare uno dei problemi più complessi del panorama open source: aiutare i manutentori dei progetti più importanti non soltanto a individuare le vulnerabilità, ma anche a correggerle nel minor tempo possibile.

L’iniziativa nasce dalla collaborazione con Trail of Bits, una delle società di ricerca sulla sicurezza più note del settore, e coinvolge anche HackerOne, Calif e numerosi ricercatori indipendenti. L’obbiettivo è mettere a disposizione dei manutentori strumenti basati sull’intelligenza artificiale affiancati, però, dalla revisione di esperti umani, così da ridurre il numero di falsi positivi e accelerare l’intero processo che porta dalla scoperta di una vulnerabilità alla pubblicazione delle relative patch.

La novità si inserisce all’interno di un’espansione molto più ampia di Daybreak, che comprende anche la versione completa di GPT-5.5-Cyber, un importante aggiornamento di Codex Security e il nuovo Daybreak Cyber Partner Program, attraverso il quale OpenAI collaborerà con alcune delle principali aziende del settore della sicurezza informatica.

Segui TuttoTech.net su Google Discover

Patch the Planet vuole alleggerire il lavoro dei manutentori open source

Secondo OpenAI, l’evoluzione dei modelli di intelligenza artificiale ha completamente cambiato il panorama della sicurezza informatica; se fino a pochi anni fa individuare vulnerabilità rappresentava il principale ostacolo, oggi il problema è diventato un altro: gestire l’enorme quantità di segnalazioni che gli strumenti IA sono ormai in grado di produrre.

Molti progetti open source sono infatti mantenuti da team estremamente ridotti che, oltre allo sviluppo del software, devono verificare ogni vulnerabilità segnalata, comprenderne l’impatto, eliminare eventuali duplicati o falsi positivi, preparare una correzione, testarla e coordinarne infine la divulgazione. Un processo che può richiedere giorni o settimane di lavoro.

È proprio qui che entra in gioco Patch the Planet. L’iniziativa prevede che gli ingegneri della sicurezza di Trial of Bits utilizzino i modelli più avanzati di OpenAI, tra cui GPT-5.5-Cyber e Codex Security, per analizzare i repository, individuare potenziali vulnerabilità e verificare i risultati ancora prima che vengano sottoposti ai manutentori.

Gli esperti non si limitano però alla sola validazione delle segnalazioni, collaborano direttamente con gli sviluppatori dei vari progetti per preparare le patch, testarne il corretto funzionamento, coordinare la divulgazione delle vulnerabilità e costruire procedure che consentano di mantenere elevato il livello di sicurezza anche dopo la conclusione della collaborazione.

In questo modo i manutentori possono concentrarsi sulle decisioni finali senza dover dedicare tempo a migliaia di segnalazioni di qualità variabile, molte delle quali potrebbero rivelarsi semplicemente dei falsi positivi.

I primi progetti coinvolti e i risultati ottenuti

Alla fase iniziale dell’iniziativa hanno aderito alcuni tra i software open source più importanti e diffusi, come cURL, Go, Python, python.org, Sigstore, pyca/cryptography, aiohttp, NATS Server e freenginx, ossia componenti software utilizzati quotidianamente da milioni di utenti, sviluppatori e aziende.

Secondo quanto dichiarato da OpenAI, altri progetti entreranno progressivamente a far parte dell’iniziativa nei prossimi cicli di lavoro. I primi risultati sembrano già piuttosto incoraggianti.

Durante uno sprint iniziale della durata di cinque giorni, gli ingegneri di Trial of Bits hanno lavorato su 19 progetti open source sfruttando GPT-5.5-Cyber e Codex Security, arrivando a identificare centinaia di vulnerabilità reali.

Nel dettaglio sono stati confermati 51 problemi di sicurezza, mentre 19 vulnerabilità risultano già corrette. Numerose altre sono ancora in fase di divulgazione coordinata, motivo per cui OpenAI non ha ancora pubblicato tutti i dettagli tecnici delle falle individuate.

L’azienda sottolinea inoltre che il progetto non si limita a produrre patch immediate, ma lascia in eredità ai manutentori strumenti e infrastrutture riutilizzabili per migliorare la sicurezza dei rispettivi repository nel lungo periodo.

L’intelligenza artificiale accelera attività che prima richiedevano settimane

Tra gli aspetti più interessanti condivisi da OpenAI ci sono alcuni esempi concreti di come l’intelligenza artificiale abbia permesso di ridurre drasticamente i tempi necessari per svolgere attività particolarmente complesse.

Gli ingegneri di Trial of Bits sono riusciti, ad esempio, a realizzare un intero laboratorio dedicato al fuzzing in meno di una giornata; si tratta di una tecnica utilizzata per individuare vulnerabilità inviando grandi quantità di input casuali o appositamente costruiti ai programmi, così da evidenziare comportamenti anomali. Secondo Trial of Bits, una configurazione analoga avrebbe normalmente richiesto diverse settimane di lavoro manuale.

Il team ha inoltre sviluppato una pipeline capace di analizzare migliaia di vulnerabilità storiche pubblicate tramite i CVE, estrarne gli schemi ricorrenti e cercare automaticamente problemi simili nei repository moderni, eliminando nel frattempo duplicati e falsi positivi prima dell’intervento umano.

Un altro esempio riguarda il cosiddetto test differenziale, una tecnica che confronta implementazioni differenti dello stesso protocollo o della stessa tecnologia per individuare eventuali comportamenti anomali; anche in questo caso Codex ha generato automaticamente gran parte del codice necessario, comprimendo in pochi giorni un’attività che tradizionalmente avrebbe richiesto settimane o addirittura mesi.

Daybreak cresce con GPT-5.5-Cyber e Codex Security

Patch the Planet rappresenta solo una parte dell’annuncio pubblicato da OpenAI, l’azienda ha infatti reso disponibile la versione completa di GPT-5.5-Cyber, il modello specializzato nelle attività di sicurezza informatica destinato agli utenti verificati che operano nel settore.

Rispetto a GPT-5.5, la nuova variante offre prestazioni superiori nei principali benchmark dedicati alla cybersicurezza. Su CyberGym raggiunge infatti un punteggio dell’85,6%, migliorando sia GPT-5.5 (81,8%) sia Claude Mythos 5 (83,8%); miglioramenti vengono registrati anche su ExploitGym e SEC-bench Pro, benchmark che valutano rispettivamente la capacità di trasformare vulnerabilità note in exploit funzionanti e quella di individuare falle di codebase particolarmente complesse.

Parallelamente arriva un importante aggiornamento di Codex Security, il plugin sviluppato da OpenAI per assistere gli sviluppatori durante tutte le fasi del processo di correzione delle vulnerabilità. Il software è ora in grado di effettuare scansioni complete dei repository, analizzare modifiche recenti al codice, produrre report dettagliati con indicazione della gravità dei problemi, costruire modelli di minaccia, tracciare possibili percorsi di attacco, validare automaticamente i risultati e persino generare patch specifiche per ogni codebase da sottoporre successivamente alla revisione umana.

Codex Security può inoltre integrarsi con strumenti già diffusi nel’ecosistema della sicurezza, come CodeQL, SARIF e Codex CLI, permettendo così di inserirsi nei flussi di lavoro già adottati dagli sviluppatori.

OpenAI afferma che, dal lancio della preview avvenuto a marzo, la piattaforma ha già analizzato oltre 30 milioni di commit appartenenti a più di 30.000 repository, contribuendo alla risoluzione di oltre 500.000 vulnerabilità considerate corrette automaticamente e di oltre 70.000 problemi confermati dai revisori umani.

Arriva anche il Daybreak Cyber Partner Program

Contestualmente OpenAI ha presentato anche il Daybreak Cyber Partner Program, iniziativa che permetterà ai principali fornitori di software e servizi per la sicurezza informatica di integrare GPT-5.5 all’interno delle proprie piattaforme.

Tra i partner iniziali figurano aziende come Accenture, Akamai, Cisco, Cloudflare, CrowdStrike, IBM, Palo Alto Networks, Proofpoint, SentinelOne, Wiz, Zscaler e numerose altre realtà specializzate nella protezione delle infrastrutture digitali.

L’obbiettivo è quello di estendere i vantaggi dell’intelligenza artificiale a un numero sempre maggiore di organizzazioni, mantenendo comunque controlli di sicurezza, sistemi di verifica e supervisione umana lungo tutto il processo.

Con questa nuova espansione di Daybreak, OpenAI conferma dunque una strategia sempre più orientata a trasformare l’intelligenza artificiale in uno strumento capace non solo di individuare vulnerabilità, ma anche di contribuire concretamente alla loro correzione. Patch the Planet rappresenta probabilmente l’esempio più significativo di questo approccio: invece di limitarsi a generare nuove segnalazioni, il progetto punta infatti ad affiancare i manutentori open source lungo tutto il percorso che porta dalla scoperta del problema fino alla distribuzione della patch, con l’obbiettivo di rendere più sicura un’infrastruttura software da cui dipendono milioni di utenti e aziende in tutto il mondo.