IA hoy Patch the Planet: la iniciativa que aligera la carga de seguridad en código abierto
OpenAI y Trail of Bits lanzan Patch the Planet, un programa que combina IA y expertos para descubrir, validar y corregir vulnerabilidades antes de que lleguen a los mantenedores.
OpenAI y Trail of Bits han puesto en marcha Patch the Planet, una iniciativa dentro del programa Daybreak cuyo objetivo es aliviar la presión que enfrentan los mantenedores de proyectos de código abierto al gestionar vulnerabilidades. La propuesta combina la capacidad de los modelos de IA más avanzados con la revisión humana de ingenieros de seguridad, de modo que los hallazgos lleguen a los proyectos ya depurados, con parches y pruebas listas para su integración.
El proceso inicia con una reunión de alineación entre los ingenieros de seguridad y el mantenedor. En esa charla se definen las áreas donde la ayuda será más valiosa: validación de vulnerabilidades, desarrollo de parches, mejoras en CI/CD o apoyo continuo en ingeniería de seguridad. Una vez acordado, los investigadores emplean los modelos GPT‑5.5‑Cyber y Codex Security para explorar el código, confirmar problemas reales y generar soluciones que luego son revisadas por expertos antes de enviarse al proyecto.
Los primeros proyectos que participan incluyen cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, el ecosistema Go, freenginx, Python y python.org. Todos ellos forman la columna vertebral de infraestructuras de red, criptografía y lenguajes de programación, por lo que una mejora en su seguridad repercute en innumerables aplicaciones y servicios downstream. Cada proyecto recibe acceso a ChatGPT Pro, uso condicionado de Codex Security y créditos de API para automatizar flujos de trabajo y lanzar versiones.
Los ingenieros de Trail of Bits ya han trabajado tiempo completo con los modelos de IA en 19 proyectos, detectando cientos de fallas y fusionando decenas de parches. Entre los resultados destacan la creación de laboratorios de fuzzing en menos de un día, un proceso que tradicionalmente consumía semanas; y una tubería que transforma el historial de CVE en búsquedas automáticas de variantes, descubriendo nuevos defectos a partir de patrones ya conocidos. Otro avance consiste en pruebas diferenciales entre implementaciones de un mismo protocolo, donde Codex genera el código de “glue” necesario para comparar comportamientos y aislar desviaciones que indican bugs, reduciendo meses de labor a pocos días.
Una práctica clave del programa es la revisión humana de cada hallazgo antes de entregarlo al mantenedor. Los modelos de IA son excelentes generadores de posibles vulnerabilidades, pero también producen falsos positivos que pueden saturar a los equipos de código abierto. Los ingenieros replican la evidencia, la contrastan con la documentación del proyecto, eliminan duplicados, reevalúan la gravedad y priorizan los casos confirmados, entregando parches alineados con las convenciones del proyecto y dejando la decisión final en manos de los mantenedores.
Patch the Planet no actúa solo. OpenAI colabora con HackerOne y la firma de seguridad Calif para reforzar la triage, la divulgación coordinada y la búsqueda focalizada de vulnerabilidades. Los resultados preliminares abarcan todo el stack de software: en el kernel de Linux se detectaron más de 30 millones de líneas de código, generando ocho pruebas de fuga de punteros y 24 pruebas de escalada local de privilegios; en OpenBSD se halló un use‑after‑free de 23 años que permitía a un usuario sin privilegios alcanzar root; y en FreeBSD se confirmaron 34 vulnerabilidades con siete pruebas de concepto.
En el ámbito de redes, Codex identificó patrones vulnerables en dnsmasq que coincidieron con cuatro de los seis CVE corregidos en la versión 2.92rel2, y descubrió una técnica de denegación de servicio conocida como “HTTP/2 Bomb”, potencialmente presente en más de 880 000 sitios web. En navegadores, se reportaron cinco fallas explotables en el motor V8 de Chrome, más de diez vulnerabilidades en Safari y una falla de WebAssembly en Firefox que fue parcheada justo antes de la competición Pwn2Own Berlin.
Para los ejecutivos de empresas que dependen de software de código abierto, Patch the Planet representa una forma de transferir parte del costo y la complejidad de la seguridad a un modelo colaborativo apoyado por IA. Al recibir parches ya validados y pruebas automáticas, los equipos internos pueden dedicar menos tiempo a la gestión de reportes y enfocarse en la integración de funcionalidades o en la innovación. Además, la creación de infraestructura reusable –laboratorios de fuzzing, pipelines de análisis histórico y suites de pruebas diferenciales– permite que la inversión inicial genere beneficios continuos, reduciendo la exposición a riesgos a lo largo del ciclo de vida del software.
El programa sigue abierto a nuevos proyectos. Los mantenedores interesados pueden aplicar a través del sitio de Trail of Bits, lo que abre la puerta a una mayor capa de defensa compartida que combina la velocidad de la IA con el criterio humano. La visión a medio plazo es que, al escalar estas colaboraciones, la comunidad de código abierto disponga de un flujo constante de mejoras de seguridad sin sobrecargar a sus contribuyentes, manteniendo la confianza de usuarios y clientes en la infraestructura digital que sustenta sus negocios.
