OpenAI lanza Patch the Planet y en su primera semana detecta cientos de vulnerabilidades que afectan a 19 proyectos de código abierto

OpenAI anunció el plan «Patch the Planet» el 23 de junio para realizar escaneos de seguridad sistemáticos a proyectos globales de código abierto clave. Según el anuncio de OpenAI, durante la primera semana del plan se detectaron cientos de vulnerabilidades de seguridad, se enviaron 64 pull requests y se abrieron 51 issues, abarcando 19 proyectos de código abierto como cURL, Python y PyPI.

Colaboradores, herramientas de IA y paquete de recursos para participantes de Patch the Planet

（Fuente: sitio web de OpenAI）

Según el anuncio de OpenAI, los socios del plan son Trail of Bits (empresa de ciberseguridad), HackerOne (plataforma de recompensas por fallos) y Calif; las dos herramientas de IA proporcionadas son Codex Security y GPT-5.5-Cyber.

Los recursos para participantes incluyen: acceso con ChatGPT Pro; acceso condicional a Codex Security; créditos de API; y la infraestructura de seguridad (fuzzing harnesses [marcos de prueba que hacen que el programa se alimente automáticamente de entradas aleatorias para sacar a la luz fallos ocultos], un pipeline de análisis histórico de CVE, un sistema de pruebas diferenciales, modelos de amenaza y un paquete ampliado de pruebas).

Los 19 primeros proyectos de código abierto objetivo y los resultados cuantificados de la primera semana

Según el anuncio de OpenAI, los 19 proyectos de código abierto cubiertos en la primera ola incluyen: cURL, Python, PyPI, urllib3, aiohttp, proyecto Go, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto y python.org, entre otros.

Resultados cuantificados de la primera semana (fuente: anuncio de OpenAI): se detectaron cientos de vulnerabilidades de seguridad; se enviaron 64 pull requests; se abrieron 51 issues. Los resultados anteriores son el total agregado de los 19 proyectos, y la distribución de vulnerabilidades de cada proyecto en particular no se divulgó de manera individual en el anuncio existente.

El dilema de la seguridad en el código abierto y el trasfondo histórico de log4j

Incidente de la vulnerabilidad de log4j (diciembre de 2021): Apache log4j es una herramienta de registro de uso generalizado en el ecosistema Java; su vulnerabilidad de seguridad fue calificada por la Agencia de Ciberseguridad e Infraestructura de Seguridad de Estados Unidos (CISA) como «una de las más graves de la historia».

Problemas estructurales (análisis del autor del texto original): el texto original señala que el problema de ciberseguridad del ecosistema de código abierto, en esencia, es un problema de personas: en todo el mundo hay cientos de miles de paquetes de código abierto, y los mantenedores a menudo solo son una o dos personas, lo que les impide realizar auditorías de seguridad completas de todo el código; las vulnerabilidades suelen detectarse muchos años después de haber aparecido. El marco de análisis del texto original es que la ventaja de la IA no reside en encontrar vulnerabilidades de nivel genio, sino en escanear de forma continua y a una densidad imposible de sostener con mano de obra grandes repositorios de código. Lo anterior son opiniones del autor del texto original y no una postura oficial de OpenAI.

Preguntas frecuentes

¿Quién divulgó los resultados cuantificados de la primera semana de Patch the Planet?

Las cifras de «cientos de vulnerabilidades, 64 pull requests y 51 issues» provienen del anuncio oficial de OpenAI y corresponden al total agregado de 19 proyectos de código abierto. Si cada proyecto de código abierto ya aceptó y fusionó esos parches, debe verificarse según el historial de actualizaciones en los repositorios de cada proyecto.

¿En qué se diferencian Codex Security y GPT-5.5-Cyber?

Según el anuncio de OpenAI, ambos son dos herramientas distintas de ciberseguridad mediante IA que proporciona el plan; la forma de acceso de Codex Security se marca como «acceso condicional», y GPT-5.5-Cyber es una herramienta de IA de versión actualizada. Las diferencias concretas de funciones y las especificaciones técnicas no se detallan en el anuncio existente.

¿Por qué OpenAI eligió infraestructuras ampliamente utilizadas como cURL y Python en lugar de otros proyectos?

El texto original señala que se trata de «infraestructuras de todo el internet moderno»; se estima que la instalación global de cURL supera los 200 mil millones de dispositivos. En este tipo de infraestructura tan extendida, el alcance potencial de los fallos detectados es mucho mayor que en herramientas minoritarias; esta es la interpretación del autor del texto original sobre la elección estándar, y no una explicación de elección oficial de OpenAI.