Patch the Planet è un’iniziativa lanciata da Daybreak in collaborazione con Trail of Bits, progettata per supportare i manutentori del software open source su cui molte parti del mondo si basano. L’iniziativa utilizza l’analisi di sicurezza assistita dall'intelligenza artificiale, supportata da modelli di alto livello, insieme alla revisione esperta degli umani, per non solo identificare le vulnerabilità, ma anche per aiutare a correggerle.

Obiettivi e metodologia di Patch the Planet

Il software open source è alla base di molti sistemi moderni, ma i manutentori sono spesso sottoposti a una grande pressione data non solo dall’aumento del numero di report da valutare, ma anche dall’ampiezza dell’area di competenza e l’alto turnover di contributi. Patch the Planet nasce per ridurre questa pressione. Gli ingegneri di sicurezza revisionano le analisi prima che arrivino ai manutentori, collaborando con loro per sviluppare correzioni, test e workflow di sicurezza riutilizzabili per migliorare ulteriormente la sicurezza dopo l’applicazione delle prime correzioni.

Inoltre, OpenAI collabora con HackerOne e Calif per poter effettuare un’attività di triage più estesa delle vulnerabilità, un'individuazione mirata e una comunicazione coordinata.

Il funzionamento di Patch the Planet

Ogni collaborazione iniziata con Patch the Planet parte con una consultazione con i manutentori. Gli esperti di sicurezza di Trail of Bits si dedicano a comprendere i bisogni di ogni progetto, le priorità e dove è più utile concentrare il lavoro su valutazione di vulnerabilità, sviluppo di patch, miglioramenti su CI/CD o su progetti di sicurezza a lungo termine. Una volta stabiliti questi punti di contatto, i ricercatori investigano le potenziali vulnerabilità, validano quelle significative, sviluppano o raffinano le correzioni, supportano i test e collaborano per la divulgazione coordinata seguendo i canali stabiliti dal progetto.

I primi progetti coinvolti sono cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, Go Project, freenginx, Python e python.org. Questi progetti supportano infrastrutture critiche come la rete, la crittografia e la gestione del software open source, e una maggiore sicurezza ne beneficierà una vasta gamma di prodotti e servizi. Altri progetti si uniranno in round successivi.

Aiuto tecnologico ai partecipanti

I ricercatori avranno accesso ai modelli più avanzati e ad Codex Security per l’analisi e la generazione di patch, insieme al supporto per i test e alla documentazione. I progetti partecipanti riceveranno accesso a ChatGPT Pro, accesso condizionale a Codex Security e crediti API per gli sviluppatori del core open-source, per automatizzare i manutentori e migliorare i flussi di pubblicazione. Inoltre, si utilizzeranno workflow AI-assisted per deduplicazione, triage e patching, che i progetti potranno implementare con il supporto ricevuto.

Note iniziali e osservazioni tecniche

Trail of Bits ha dedicato ingegneri che lavorano a tempo pieno con Codex e GPT-5.5-Cyber su 19 progetti open source. Fino ad oggi sono state identificate centinaia di vulnerabilità e sono state integrate decine di patch, con molte altre in corso di analisi e divulgazione coordinata.

Alcuni esempi specifici mostrano quanto il sistema ha potuto costruire e identificare in poco tempo:

    • Un laboratorio di fuzzing in meno di un giorno. Trail of Bits ha costruito un laboratorio di fuzzing completo coprendo dozzine di punti di ingresso, builds varianti, piattaforme e seed di test innovativi, in un tempo decisamente ridotto rispetto a un costrutto manuale che potrebbe richiedere settimane.
    • Un pipeline per trovare le varianti delle vulnerabilità conosciute. Sono stati creati sistemi che integrano dati storici dei CVE, estrarre modelli rilevanti, cercare problemi simili nel codice target, e mandare i risultati ai giudici esperti per la valutazione. Questo approccio permette di applicare strategie di ricerca in modo ripetibile a diversi progetti.
    • Test differenziale in giorni invece che in mesi. Si è sviluppato un workflow che testa implementazioni diverse del medesimo protocollo contro input comuni. Grazie a questo, i test di compatibilità e rilevamento di comportamenti divergenti, che normalmente richiederebbero settimane, sono stati completati in giorni.
    • Verifica del comportamento contro le specifiche del software. I team hanno utilizzato Codex per sviluppare modelli di minaccia, categorie di attacchi e test basati su invarianti, esponendo discrepanze tra lo scopo originale delle specifiche e il comportamento reale del codice. Questo ha portato a miglioramenti della documentazione, test e integrazione con i sistemi CI/CD.
    • Rivisione esperta prima della consegna. Gli esperti di Trail of Bits hanno rivisto personalmente ogni vulnerabilità prima della presentazione al manutentore. Questo passo aggiunto ha ridotto notevolmente i falsi positivi e ha garantito che le vulnerabilità verificate fossero priorizzate correttamente.

Questo approccio ha reso il processo di divulgazione e risoluzione più efficiente e focalizzato, soprattutto in progetti ad alto impatto.

Scoperte attuali di OpenAI Daybreak

Patch the Planet rappresenta l’estensione di un corpo di lavoro molto più ampio di Daybreak, che dimostra come i modelli AI di frontiera possano aiutare a scovare, verificare e risolvere vulnerabilità critiche in software ampiamente utilizzati.

Area del kernel Linux

    • Kernel Linux: GPT-5.5-Cyber ha identificato in oltre 30 milioni di righe di codice componenti rilevanti e potenziali vulnerabilità, validandole con test dinamici.

I risultati ottenuti con Patch the Planet sono destinati a essere approfonditi in futuro con ulteriori rapporti tecnici e articoli di divulgazione coordinata. I dati di fondo suggeriscono che il modello abbia raggiunto risultati promettenti in una vasta gamma di livelli della stack software.