Trail of Bits informa que durante la primera semana se presentaron 64 solicitudes de cambio y 51 reportes de problemas en 19 proyectos.
OpenAI y la empresa de seguridad Trail of Bits presentaron Patch the Planet, una iniciativa destinada a encontrar y corregir vulnerabilidades en proyectos de código abierto mediante una combinación de modelos de inteligencia artificial y revisión humana especializada.
El programa forma parte de Daybreak, una iniciativa de OpenAI orientada al uso defensivo de sus modelos en tareas de seguridad informática. También participan HackerOne y la empresa de investigación Calif, que colaborarán en la clasificación de vulnerabilidades, divulgación coordinada y búsqueda de fallas específicas.
A diferencia de proyectos que se concentran únicamente en generar reportes, Patch the Planet contempla la validación de los hallazgos, el desarrollo y prueba de correcciones y la coordinación con los responsables de cada proyecto.
Los mantenedores conservan el control sobre las modificaciones que aceptan y sobre la forma y el momento en que se divulgan las vulnerabilidades.
Proyectos de infraestructura ampliamente utilizada
Los primeros participantes incluyen cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, Go, freenginx, Python y python.org.
Estos proyectos proporcionan componentes utilizados en redes, criptografía, cadenas de suministro de software y lenguajes de programación. Trail of Bits señala que más de 30 proyectos se han incorporado hasta ahora, aunque su trabajo inicial se concentró en 19.
Cada colaboración comienza con una consulta a los mantenedores para determinar sus necesidades. El trabajo puede abarcar validación de vulnerabilidades, desarrollo de parches, mejoras en procesos de integración y entrega continua o tareas de seguridad de mayor duración.
Los investigadores utilizan Codex Security y modelos que OpenAI describe como especializados en ciberseguridad. Los proyectos participantes reciben además acceso a ChatGPT Pro, acceso condicionado a Codex Security y créditos para utilizar la API de OpenAI en tareas relacionadas con el mantenimiento y publicación del software.
Resultados de la primera semana
Trail of Bits destinó ingenieros de seguridad a trabajar a tiempo completo con Codex y GPT-5.5-Cyber. La empresa informa que, durante la primera semana, el equipo presentó 64 solicitudes de incorporación de cambios y abrió 51 reportes de problemas en 19 proyectos. Al momento del anuncio, 37 de esas modificaciones habían sido integradas y 19 problemas habían sido cerrados con una solución.
Estas cifras incluyen trabajos de distinta naturaleza. Además de vulnerabilidades, las contribuciones contemplan correcciones de funcionamiento, ampliación de pruebas, sistemas de fuzzing, análisis de cadenas de suministro y mejoras en procesos de integración continua.
Trail of Bits indica que el recuento público no incluye hallazgos comunicados mediante canales privados o que todavía están sujetos a divulgación coordinada.
Automatización de las pruebas de seguridad
Uno de los experimentos consistió en construir un laboratorio de fuzzing para probar múltiples puntos de entrada, configuraciones y plataformas.
Según Trail of Bits, Codex y GPT-5.5-Cyber permitieron completar la infraestructura en menos de un día. La empresa estima que un especialista habría necesitado entre dos y tres semanas para desarrollar manualmente un sistema equivalente.
El equipo también desarrolló una canalización que analiza vulnerabilidades históricas registradas como CVE y busca variantes de esos patrones en otros repositorios. Los resultados pasan por agentes encargados de identificar duplicados y posibles falsos positivos antes de ser revisados por especialistas.
Otra aplicación fue la comparación automática de distintas implementaciones de los mismos protocolos o algoritmos. Las diferencias de comportamiento pueden revelar errores en alguna de ellas, pero deben investigarse para determinar si representan una vulnerabilidad real.
La revisión humana continúa siendo necesaria
OpenAI y Trail of Bits reconocen que los modelos generan un volumen elevado de falsos positivos. Sin documentación y criterios específicos, también pueden exagerar la gravedad de los problemas detectados.
Por esa razón, los ingenieros de Trail of Bits revisan cada hallazgo antes de enviarlo a un proyecto. El proceso incluye reproducir el problema, comprobarlo frente a la documentación y el modelo de amenazas del software, eliminar duplicados, revisar su gravedad y preparar una corrección compatible con las preferencias del mantenedor.
La iniciativa busca evitar que la automatización aumente la carga de quienes mantienen proyectos abiertos, muchos de los cuales ya reciben numerosos reportes generados mediante IA.
Hallazgos anteriores de Daybreak
El anuncio reúne además resultados de investigaciones realizadas dentro del programa Daybreak. OpenAI afirma que sus modelos localizaron problemas en sistemas operativos, servidores de red y navegadores.
Entre los ejemplos menciona vulnerabilidades en los núcleos de Linux, OpenBSD y FreeBSD, así como fallas notificadas en los motores de Chrome, Safari y Firefox. También incluye HTTP/2 Bomb, una técnica de denegación de servicio descubierta por Calif con Codex y que afecta a distintas implementaciones de HTTP/2.
Parte de estos resultados todavía está sometida a procesos de corrección y divulgación. OpenAI señala que publicará informes técnicos más detallados una vez que las vulnerabilidades hayan sido solucionadas.
Patch the Planet continuará incorporando proyectos de código abierto mediante un proceso de postulación administrado por Trail of Bits.
📬 Newsletter gratuito
