OpenAI lança Patch the Planet, na primeira semana descobre centenas de vulnerabilidades que afetam 19 projetos open source

A OpenAI anunciou, em 23 de junho, o plano “Patch the Planet”, voltado a uma varredura de segurança sistemática em projetos globais essenciais de código aberto. De acordo com o comunicado da OpenAI, na primeira semana do plano foram identificadas centenas de vulnerabilidades de segurança, com a submissão de 64 pull requests e a abertura de 51 issues, abrangendo 19 projetos de código aberto, incluindo cURL, Python e PyPI.

Patch the Planet: parceiros, ferramentas de IA e pacote de recursos para participantes

（Fonte: site da OpenAI）

Conforme o comunicado da OpenAI, os parceiros do plano são a Trail of Bits (empresa de segurança cibernética), a HackerOne (plataforma de recompensas por vulnerabilidades) e a Calif; as duas ferramentas de IA fornecidas são Codex Security e GPT-5.5-Cyber.

Os recursos para participantes incluem: acesso ao ChatGPT Pro; acesso por condições ao Codex Security; créditos de API; e infraestrutura de segurança (fuzzing harnesses〔estruturas de teste que fazem o programa receber automaticamente entradas aleatórias para provocar bugs ocultos〕, pipeline de análise histórica de CVE, sistema de testes diferenciais, modelo de ameaça e conjunto de testes extensivo).

Os 19 primeiros projetos de código aberto e os resultados quantitativos da primeira semana

Com base no comunicado da OpenAI, os 19 projetos de código aberto cobertos na primeira leva incluem: cURL, Python, PyPI, urllib3, aiohttp, projeto Go, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto e python.org etc.

Resultados quantitativos da primeira semana (fonte: comunicado da OpenAI): foram identificadas centenas de vulnerabilidades de segurança; foram submetidos 64 pull requests; e foram abertas 51 issues. As conquistas acima correspondem ao total agregado dos 19 projetos, e a distribuição de vulnerabilidades de cada projeto individual não foi divulgada item a item no comunicado disponível.

Dilema de segurança em código aberto e contexto histórico do log4j

Evento de vulnerabilidade do log4j (dezembro de 2021): o Apache log4j é uma ferramenta de logs amplamente usada no ecossistema Java, e sua vulnerabilidade de segurança foi classificada pela CISA (Agência de Segurança de Infraestrutura e Cibersegurança dos EUA) como “uma das mais graves vulnerabilidades de todos os tempos”.

Problema estrutural (análise do autor do texto original): o texto original aponta que os problemas de segurança do ecossistema de código aberto, na essência, são problemas de pessoal: no mundo todo existem dezenas de milhares de pacotes de código aberto, e os mantenedores geralmente têm apenas uma ou duas pessoas, sem capacidade de realizar uma auditoria de segurança completa sobre todo o código; vulnerabilidades frequentemente só são descobertas anos depois de surgirem. A estrutura de análise do texto original é que o diferencial da IA não está em encontrar vulnerabilidades de nível “gênio”, mas em manter uma densidade de varredura que a força humana não consegue sustentar, percorrendo grandes bases de código continuamente. O que foi exposto acima é a visão do autor do texto original, não uma posição oficial da OpenAI.

Perguntas frequentes

Qual parte divulgou os resultados quantitativos da primeira semana do Patch the Planet?

Os números “centenas de vulnerabilidades, 64 pull requests e 51 issues” vêm do comunicado oficial da OpenAI e representam a soma geral de 19 projetos de código aberto. Se cada projeto individual já aceitou e incorporou essas correções, deve-se verificar com base no histórico de atualizações de seus respectivos repositórios.

Quais são as diferenças entre Codex Security e GPT-5.5-Cyber?

De acordo com o comunicado da OpenAI, ambos são duas ferramentas distintas de segurança com IA fornecidas pelo plano; o modo de acesso do Codex Security está marcado como “acesso por condições”, e o GPT-5.5-Cyber é uma ferramenta de IA atualizada. Diferenças funcionais específicas e especificações técnicas não foram detalhadas no comunicado disponível.

Por que a OpenAI escolheu infraestruturas amplamente usadas como cURL e Python em vez de outros projetos?

O texto original afirma que são “a infraestrutura de toda a internet moderna”; estima-se que a instalação global do cURL ultrapasse 20 bilhões de dispositivos. Em infraestrutura tão ampla, as vulnerabilidades encontradas têm um alcance potencial muito maior do que em ferramentas de nicho, e essa é a interpretação do autor do texto original sobre o critério de escolha, não uma explicação oficial de seleção da OpenAI.