OpenAI startet Patch the Planet, um Open-Source-Sicherheit im großen Stil zu beheben, und veröffentlicht GPT-5.5-Cyber vollständig.

OpenAI hat am Montag seine Daybreak-Cybersecurity-Initiative mit zwei wichtigen Schritten ausgebaut: dem Start von Patch the Planet, einem Programm zur systematischen Suche und Behebung von Schwachstellen in weit verbreiteten Open-Source-Projekten, sowie der vollständigen öffentlichen Veröffentlichung von GPT-5.5-Cyber – bisher nur einer begrenzten Gruppe geprüfter Verteidiger zugänglich. Die Ankündigungen positionieren OpenAI, wie SiliconAngle berichtet, als bedeutenden Akteur in der proaktiven Softwaresicherheit – nicht nur in der KI-Entwicklung.

Patch the Planet wurde in Partnerschaft mit Trail of Bits, einem der renommiertesten Sicherheitsunternehmen der Branche, sowie HackerOne und Calif.io entwickelt. Das Modell ist einfach: GPT-5.5-Cyber scannt Open-Source-Codebasen nach Schwachstellen mit einer Geschwindigkeit, die kein menschliches Team erreichen kann, und jeder Fund wird von einem Trail-of-Bits-Sicherheitsingenieur geprüft, bevor er an einen Projektbetreuer weitergegeben wird. Dieser menschliche Überprüfungsschritt ist bewusst gewählt – er verhindert, dass KI-generierte False Positives die Betreuer mit Rauschen überschwemmen, während diese ohnehin unter Ressourcenmangel leiden.

Mehr als 30 Projekte haben sich zum Start zur Teilnahme verpflichtet, darunter cURL, das Go-Projekt, die Python-Kernbibliothek, Sigstore und pyca/cryptography – Projekte, die große Teile der globalen Software-Lieferkette tragen. Ein erster fünftägiger Sprint über 19 dieser Projekte förderte hunderte potenzieller Probleme zutage und führte zu Dutzenden integrierter Patches. Besonders auffällig war ein 23 Jahre alter Use-after-Free-Fehler im Kernel von OpenBSD, einem in kritischer Netzwerkinfrastruktur eingesetzten Betriebssystem, der seit 2003 unentdeckt geblieben war. Der Sprint identifizierte auch Probleme in Chromes V8-Engine, Safari-WebKit und Firefox.

Der Zeitpunkt spiegelt ein echtes und sich verschärfendes Problem wider. OpenAI berief sich auf Forschungsergebnisse, wonach 94 Prozent der weit verbreiteten Open-Source-Projekte weniger als zehn Entwickler haben, die für mehr als 90 Prozent des Codes verantwortlich sind. Diese kleinen Teams sind für die Wartung von Software verantwortlich, die in Browsern, Cloud-Servern, Routern und Betriebssystemen läuft, die von Milliarden Menschen genutzt werden – und sie sind regelmäßig überfordert. Die Schwachstellenerkennung, beschleunigt durch KI-Tools, übersteigt inzwischen die Kapazität der Betreuer, das Gefundene zu prüfen und zu patchen. Patch the Planet versucht, diese Lücke zu schließen, indem es KI-gestützte Erkennung mit finanzierter Sicherheitsexpertise am Auslieferungsende kombiniert.

Auf der Modellseite erreicht GPT-5.5-Cyber 85,6 Prozent im CyberGym-Benchmark, gegenüber 81,8 Prozent des allgemeinen GPT-5.5, und ist damit OpenAIs leistungsstärkstes Modell für Sicherheitsaufgaben. Die vollständige Veröffentlichung bringt es von einer begrenzten Vorschau für vertrauenswürdige Defender in eine breitere Verfügbarkeit für geprüfte Sicherheitsexperten, zusammen mit einem neuen Daybreak Cyber Partner Program, das Sicherheitsanbietern die Integration des Modells in kommerzielle Produkte ermöglicht. Sieben Unternehmen sind zum Start beigetreten – Cisco, CrowdStrike, IBM und vier weitere – und betten GPT-5.5-Cybers Fähigkeiten direkt in Enterprise-Sicherheitstools ein, anstatt dass Kunden es über OpenAIs eigene Schnittstelle nutzen müssen.

OpenAIs Daybreak-Programm ist inzwischen weit über seinen ursprünglichen Umfang hinausgewachsen. Was als gezielter Versuch begann, den Missbrauch von KI für Cyberangriffe zu verhindern, hat sich zu einer offensiven Sicherheitsfähigkeit (GPT-5.5-Cyber zur Schwachstellensuche), einer Open-Source-Patching-Infrastruktur (Patch the Planet) und einer kommerziellen Partnerschicht (das Daybreak Cyber Partner Program) entwickelt. Diese Ausweitung ist bemerkenswert, weil OpenAI damit in Gebiete vordringt, die zuvor spezialisierten Sicherheitsfirmen vorbehalten waren – KI nicht nur zur Verbesserung von Produkten, sondern zur aktiven Verbesserung der Sicherheit von Infrastruktur, die es nicht besitzt oder betreibt.

Für Open-Source-Betreuer stellt sich die praktische Frage, ob das Programm echten Mehrwert schafft oder zusätzlichen Aufwand verursacht. OpenAI und Trail of Bits haben klargestellt, dass die menschliche Überprüfung nicht verhandelbar ist – kein Fund wird an einen Betreuer weitergegeben, ohne dass ein Sicherheitsingenieur ihn zuvor verifiziert hat. Die frühen Sprintergebnisse mit Dutzenden bereits eingefügten Patches deuten darauf hin, dass die Pipeline funktioniert. Ob sie auf das gesamte Programm mit über 30 Projekten skalieren kann, ohne die Fundqualität zu beeinträchtigen, ist der entscheidende Test.