Com os avanços em toda a indústria de IA deixando projetos críticos de código aberto em risco crescente de ficarem para trás, a empresa também afirmou nesta segunda-feira que está lançando um esforço conhecido como Patch the Planet, criado com a renomada empresa de segurança voltada para pesquisa Trail of Bits e em colaboração com as firmas de gestão de vulnerabilidades HackerOne e Calif.
O projeto já iniciou suas atividades oferecendo serviços gratuitos de consultoria de segurança para mantenedores de código aberto, não apenas para ajudá-los a encontrar e corrigir vulnerabilidades, mas também para apoiá-los no fortalecimento de suas bases de código e na incorporação de ferramentas de segurança de IA em seu processo de desenvolvimento. A ideia é oferecer suporte individualizado ao maior número possível de projetos de código aberto, a fim de melhorar tanto sua segurança atual quanto sua resiliência de longo prazo, de uma forma que seja de fato sustentável.
"Patch the Planet é um esforço em escala de internet para ajudar o software de código aberto a se antecipar às ferramentas de IA de caça a bugs", afirma Dan Guido, CEO e cofundador da Trail of Bits. "Mas também é um esforço para ajudar a comunidade de código aberto a enxergar os benefícios, e não apenas os pontos negativos, das ferramentas de codificação com IA."
Desenvolvedores de código aberto — tipicamente voluntários que mantêm softwares críticos e amplamente utilizados com poucos recursos — já costumam ter dificuldade para acompanhar os relatórios de bugs. O aumento da caça a vulnerabilidades por IA nos últimos meses fez com que, para muitos mantenedores, esse acúmulo parecesse impossível de superar, à medida que relatórios gerados por IA de baixa qualidade se empilham, dificultando a priorização e consumindo um tempo e atenção já limitados que deveriam ser dedicados a falhas críticas.
Mantenedores "fazem seu trabalho por amor ao código aberto, e agora estão presos revisando CVEs (Vulnerabilidades e Exposições Comuns) de baixa qualidade", diz Fouad Matin, líder técnico de cibersegurança da OpenAI. Com o Patch the Planet, ele afirma, "o que efetivamente fizemos foi tornar o mais eficiente possível do ponto de vista de tokens (unidades de texto processadas pelo modelo) para reduzir o ônus dos mantenedores — avaliações de base de código, validação de relatórios potenciais, criação de patches e implementação deles. Queremos compensar os custos, sejam de tokens ou de mão de obra, para realmente corrigir o máximo possível do mundo do software".
Matin acrescenta que, para o scanner Codex Security, que está em prévia de pesquisa desde o início deste ano, a OpenAI vem subsidiando o uso tanto para código aberto quanto privado "na casa de 20 trilhões de tokens".
Mais de 30 projetos de código aberto já estão participando do Patch the Planet, com outros na fila para começar. Para lançar o projeto, a Trail of Bits realizou recentemente um sprint inicial de cinco dias, no qual 25 engenheiros — cerca de um quinto de seu quadro de funcionários — trabalharam simultaneamente em colaborações com uma série de mantenedores. OpenAI e Trail of Bits afirmam que o projeto já descobriu centenas de bugs e produziu dezenas de patches em apenas sua primeira semana. Guido diz que, com financiamento da OpenAI e acesso ilimitado a modelos, a Trail of Bits planeja manter seu compromisso intenso com o trabalho do Patch the Planet a longo prazo.
"É tão raro termos a oportunidade de trabalhar em questões de segurança de código aberto em larga escala", afirma Guido. "E o Patch the Planet não é uma solução única para todos. Conversamos com todos os mantenedores de cada projeto e identificamos quais são suas maiores prioridades, seja construir uma melhor infraestrutura de testes, criar fuzzers (ferramentas que testam softwares com dados aleatórios) personalizados ou apenas limpar dados técnicos espalhados pelo projeto, porque é isso que vai fazê-los trabalhar mais rápido, operar mais rápido e corrigir mais rápido."
Os anúncios da OpenAI nesta segunda-feira ocorrem no momento em que sua concorrente Anthropic teve que retirar do mercado seus novos modelos Fable 5 e Mythos 5 no início deste mês, em meio ao temor do governo Trump sobre as capacidades de cibersegurança de IA. A decisão da Casa Branca de impor controles de exportação aos modelos da Anthropic veio depois que a empresa lançou publicamente o Fable 5 de nível Mythos, com bloqueios em suas capacidades avançadas biológicas e de cibersegurança — proteções que a administração temia não serem adequadas.
Os anúncios da OpenAI nesta segunda-feira, incluindo o novo checkpoint (ponto de verificação) do GPT-5.5-Cyber, fazem parte do programa limitado da empresa chamado Trusted Access for Cyber (Acesso Confiável para Cibersegurança) e não envolvem lançamento público. Mas, com Anthropic e OpenAI se preparando para IPOs (ofertas públicas iniciais de ações), a competição claramente continua independentemente de quais produtos estão atualmente no mercado. Em seu anúncio do GPT-5.5-Cyber, por exemplo, a OpenAI destaca que o modelo obtém 85,6% na avaliação de benchmark (teste de referência) conhecida como CyberGym, uma melhoria em relação a uma versão anterior do GPT-5.5-Cyber. O desempenho também supera o Mythos 5 da Anthropic, que obteve 83,8%.
Em meio a essa corrida de cibersegurança com IA, a aliança de inteligência Five Eyes (Cinco Olhos) alertou, em um comunicado conjunto incomum nesta segunda-feira, que "modelos de IA de fronteira devem exceder as expectativas atuais do setor, transformando fundamentalmente tanto as capacidades cibernéticas ofensivas quanto defensivas. O prazo não é em anos, é em meses... Neste ambiente, a resiliência cibernética é essencial".
Por sua parte, o Patch the Planet deixa os participantes com seis meses de ChatGPT Pro gratuitos e seis meses de Codex Security, além de melhorias de infraestrutura e fluxo de trabalho que podem ser aproveitadas com uma série de ferramentas e engenheiros humanos.
"Com o Patch the Planet até agora, apenas cerca de metade do tempo foi gasta encontrando bugs", diz Guido, da Trail of Bits. "Estamos tentando encontrar os bugs mais superficiais, facilmente detectáveis e mais severos e eliminá-los da lista, mas a outra metade do tempo gastamos personalizando agentes para trabalhar na base de código, para que possamos deixá-los para trás e ensinar os mantenedores a usá-los."
Atualização em 22/06/26 às 13h05 (horário de Brasília): adicionados detalhes adicionais sobre o programa Patch the Planet.
