A OpenAI lançou o Patch the Planet, e na primeira semana descobriu centenas de vulnerabilidades que afectaram 19 projectos open source

A OpenAI anunciou em 23 de junho o plano «Patch the Planet», que vai realizar uma auditoria de segurança sistemática a projectos open source essenciais a nível global. Segundo o comunicado da OpenAI, na primeira semana o plano detetou centenas de vulnerabilidades, apresentou 64 pull requests e abriu 51 issues, abrangendo 19 projectos open source, incluindo cURL, Python e PyPI.

Parceiros, ferramentas de IA e pack de recursos dos participantes em Patch the Planet

（Fonte: site da OpenAI）

De acordo com o comunicado da OpenAI, os parceiros do plano são Trail of Bits (empresa de cibersegurança), HackerOne (plataforma de recompensas por vulnerabilidades) e Calif; as duas ferramentas de IA disponibilizadas são Codex Security e GPT-5.5-Cyber.

Os recursos para participantes incluem: acesso ao ChatGPT Pro; acesso condicionado ao Codex Security; créditos de API; e infraestruturas de segurança (fuzzing harnesses〔frameworks de testes que alimentam automaticamente entradas aleatórias aos programas para forçar a descoberta de bugs ocultos〕, pipelines de análise histórica de CVE, sistemas de testes diferenciais, modelos de ameaça e suites de testes de extensões).

Os primeiros 19 projectos open source-alvo e os resultados quantificados da primeira semana

De acordo com o comunicado da OpenAI, os 19 projectos open source abrangidos na primeira vaga incluem: cURL, Python, PyPI, urllib3, aiohttp, projecto Go, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto e python.org, entre outros.

Resultados quantificados da primeira semana (fonte: comunicado da OpenAI): deteção de centenas de vulnerabilidades; apresentação de 64 pull requests; abertura de 51 issues. As conclusões acima são o total agregado dos 19 projectos, e a distribuição de vulnerabilidades em cada projecto individual não foi divulgada ponto por ponto no comunicado existente.

Dilema da cibersegurança em open source e contexto histórico do log4j

Incidente de vulnerabilidade do log4j (dezembro de 2021): o Apache log4j é uma ferramenta de logging amplamente utilizada no ecossistema Java e a sua vulnerabilidade de segurança foi classificada pela CISA (Agência de Segurança Cibernética e de Infraestrutura) dos EUA como «uma das vulnerabilidades mais graves de sempre».

Problema estrutural (análise do autor do texto original): o texto original refere que, no fundo, os problemas de cibersegurança no ecossistema open source são problemas de pessoas: existem dezenas de milhares de pacotes open source em todo o mundo e, muitas vezes, os mantenedores são apenas uma ou duas pessoas, incapazes de realizar uma auditoria de segurança completa de todo o código; além disso, as vulnerabilidades são frequentemente detetadas apenas anos depois de aparecerem. O enquadramento de análise do autor é que a vantagem da IA não está em encontrar vulnerabilidades do nível de um génio, mas sim em manter uma densidade de varrimento de grandes bases de código que a mão humana não consegue sustentar. Estas são as opiniões do autor do texto original e não uma interpretação oficial da OpenAI.

Perguntas frequentes

A divulgação dos resultados quantificados da primeira semana do Patch the Planet foi feita por quem?

Os números «centenas de vulnerabilidades, 64 pull requests, 51 issues» provêm do comunicado oficial da OpenAI e constituem um total agregado dos 19 projectos open source. Se cada projecto já aceitou e incorporou estes patches, depende do respetivo registo de atualização do repositório de versões.

Em que diferem a Codex Security e a GPT-5.5-Cyber?

De acordo com o comunicado da OpenAI, ambas são duas ferramentas distintas de cibersegurança com IA disponibilizadas pelo plano; a forma de acesso da Codex Security é indicada como «acesso condicionado» e a GPT-5.5-Cyber é uma ferramenta de IA de nova versão. As diferenças concretas de funcionalidades e especificações técnicas não são detalhadas no comunicado existente.

Por que razão a OpenAI escolheu infraestruturas amplamente usadas como cURL e Python em vez de outros projectos?

O texto original refere que estes são «a infraestrutra do ecossistema da Internet moderna»; estima-se que as instalações globais do cURL ultrapassem 200 mil milhões de dispositivos. As vulnerabilidades detetadas em infraestruturas tão abrangentes têm um potencial impacto muito maior do que o de ferramentas de nicho — esta é a interpretação do autor do texto original sobre o critério de seleção, e não uma explicação oficial da escolha da OpenAI.