Il 22 giugno 2026, OpenAI ha lanciato Patch the Planet — un'iniziativa che usa il proprio modello di cybersecurity per trovare e correggere vulnerabilità nei principali progetti open source da cui dipende internet.

In una settimana: 51 bug reali trovati, 19 già corretti.

Il progetto

Patch the Planet è parte del programma Daybreak di OpenAI, costruito in partnership con Trail of Bits (uno dei team di sicurezza più rispettati del settore), HackerOne e Calif.

Il cuore tecnologico è GPT-5.5-Cyber, il modello AI di OpenAI ottimizzato per la sicurezza informatica. Il modello ha stabilito un nuovo benchmark dell'85,6% su CyberGym, il dataset di riferimento per valutare le capacità di analisi delle vulnerabilità.

Ma l'elemento più importante del progetto non è il modello — è il processo ibrido:

  1. GPT-5.5-Cyber analizza il codice dei progetti open source cercando pattern di vulnerabilità
  2. I security engineer di Trail of Bits verificano manualmente ogni finding prima che raggiunga i maintainer
  3. Solo le vulnerabilità confermate vengono segnalate, con patch e test già sviluppati
  4. Il team aiuta i maintainer a integrare le correzioni e costruisce workflow riutilizzabili per il monitoraggio continuativo

I progetti coinvolti

La scelta dei progetti non è casuale — sono tra le librerie e i tool più usati al mondo:

  • cURL — il tool di trasferimento dati usato in quasi ogni sistema operativo e applicazione web
  • Python — il linguaggio alla base di gran parte dell'AI, del data science e del web moderno
  • Go — il linguaggio dietro Docker, Kubernetes e molte infrastrutture cloud
  • aiohttp — libreria HTTP asincrona molto usata in Python
  • freenginx — fork di nginx, uno dei web server più diffusi
  • Sigstore, pyca/cryptography, NATS Server — componenti critici per sicurezza e messaging

Vulnerabilità in questi progetti non riguardano solo chi li usa direttamente — riguardano tutti i sistemi e le applicazioni costruiti sopra di loro.

I risultati della prima settimana

Nella prima settimana, lavorando su 19 progetti, il team ha:

  • Identificato centinaia di pattern sospetti nel codice
  • Confermato 51 vulnerabilità reali
  • Corretto 19 di queste vulnerabilità, con patch già integrate

Perché questa iniziativa è rilevante

L'open source è l'infrastruttura invisibile di internet. Ogni sito web, ogni applicazione, ogni servizio cloud dipende in qualche misura da librerie open source mantenute spesso da team piccoli o da singoli developer volontari con risorse limitate.

La sicurezza di questa infrastruttura è un problema strutturale: i maintainer non hanno sempre le risorse per condurre security audit approfonditi, e le vulnerabilità possono rimanere nascoste per anni. L'incidente Log4Shell del 2021 — una vulnerabilità in una libreria Java usata da milioni di applicazioni — è l'esempio più noto di quanto possa essere devastante una falla in una componente open source ampiamente diffusa.

L'approccio di OpenAI — usare l'AI per trovare bug velocemente con supervisione umana per validarli — è esattamente il tipo di applicazione in cui il vantaggio dell'AI nel processare grandi quantità di codice si combina con il giudizio umano necessario per distinguere i veri problemi dai falsi positivi.

Patch the Planet non risolve il problema strutturale del sottodimensionamento dell'open source. Ma è un contributo concreto — e dimostra che l'AI può essere uno strumento genuinamente utile per la sicurezza del software, non solo un rischio.

OpenAIopen sourcesicurezzabugGPT-5.5cybersecurityPatch the PlanetDaybreak2026
← Tutti gli articoli