OpenAI lança Patch the Planet para corrigir segurança open-source em escala e lança o GPT-5.5-Cyber Fully

A OpenAI expandiu na segunda-feira sua iniciativa de cibersegurança Daybreak com duas movimentações importantes: o lançamento do Patch the Planet, um programa para encontrar e corrigir vulnerabilidades de forma sistemática em projetos open source amplamente usados, e a liberação pública total do GPT-5.5-Cyber — antes disponível apenas para um grupo restrito de defensores verificados. Juntas, as novidades posicionam a OpenAI como um player relevante na segurança proativa de software, e não apenas no desenvolvimento de IA, conforme reportado pelo SiliconAngle.

O Patch the Planet foi construído em parceria com a Trail of Bits, uma das empresas mais respeitadas da indústria de segurança, além da HackerOne e da Calif.io. O modelo é direto: o GPT-5.5-Cyber escaneia codebases open source em busca de vulnerabilidades a uma velocidade que nenhuma equipe humana conseguiria igualar, e cada descoberta é revisada por um engenheiro de segurança da Trail of Bits antes de ser compartilhada com o mantenedor do projeto. Essa etapa de revisão humana é intencional — evita que falsos positivos gerados por IA inundem os mantenedores com ruído enquanto eles já estão sobrecarregados de recursos.

Mais de 30 projetos já se comprometeram a participar desde o lançamento, incluindo cURL, o projeto Go, a biblioteca principal do Python, Sigstore e pyca/cryptography — projetos que sustentam enormes porções da cadeia global de suprimentos de software. Um sprint inicial de cinco dias em 19 desses projetos revelou centenas de possíveis problemas e gerou dezenas de patches mesclados. Uma descoberta foi particularmente chocante: uma falha de use-after-free com 23 anos no kernel do OpenBSD, um sistema operacional usado em infraestrutura crítica de redes, que passou despercebida desde 2003. O sprint também identificou problemas no engine V8 do Chrome, no WebKit do Safari e no Firefox.

O timing reflete um problema real e crescente. A OpenAI citou pesquisas mostrando que 94% dos projetos open source amplamente usados têm menos de dez desenvolvedores responsáveis por mais de 90% do código. Essas pequenas equipes mantêm software que roda dentro de navegadores, servidores em nuvem, roteadores e sistemas operacionais usados por bilhões de pessoas — e estão constantemente sobrecarregadas. A descoberta de vulnerabilidades, acelerada por ferramentas de IA, está agora superando a capacidade dos mantenedores de revisar e corrigir o que é encontrado. O Patch the Planet tenta fechar essa lacuna combinando descoberta assistida por IA com expertise de segurança financiada na ponta da entrega.

No lado do modelo, o GPT-5.5-Cyber alcança 85,6% no benchmark CyberGym, acima dos 81,8% do GPT-5.5 de uso geral, tornando-se o modelo de maior desempenho da OpenAI em tarefas de segurança. A liberação total o tira de uma prévia limitada a defensores confiáveis para uma disponibilidade mais ampla para profissionais de segurança verificados, junto com um novo Daybreak Cyber Partner Program, que permite que fornecedores de segurança integrem o modelo em produtos comerciais. Sete empresas aderiram no lançamento — Cisco, CrowdStrike, IBM e outras quatro — incorporando as capacidades do GPT-5.5-Cyber diretamente em ferramentas de segurança empresarial, em vez de exigir que os clientes o usem pela interface própria da OpenAI.

O programa Daybreak da OpenAI agora se expandiu muito além de seu escopo original. O que começou como um esforço focado em prevenir o uso indevido de IA para ataques cibernéticos cresceu para incluir uma capacidade de segurança ofensiva (GPT-5.5-Cyber para encontrar vulnerabilidades), uma infraestrutura de correção open source (Patch the Planet) e uma camada de parceria comercial (o Daybreak Cyber Partner Program). Essa expansão de escopo é notável porque coloca a OpenAI em território antes ocupado por empresas de segurança dedicadas — usando IA não apenas para tornar produtos mais inteligentes, mas para melhorar ativamente a segurança de infraestrutura que ela não possui ou opera.

Para os mantenedores open source, a pergunta prática é se o programa gera valor genuíno ou cria sobrecarga adicional. OpenAI e Trail of Bits foram explícitas de que o requisito de revisão humana é inegociável — nenhuma descoberta chega a um mantenedor sem que um engenheiro de segurança a tenha verificado primeiro. Os resultados do sprint inicial, com dezenas de patches já mesclados, sugerem que o pipeline é funcional. Se ele escala para a lista completa de mais de 30 projetos sem degradar a qualidade das descobertas é o teste que realmente importa.