OpenAI lanza Patch the Planet contra Mythos por la ciberseguridad IA

Mientras crecen los temores sobre las capacidades de hackeo de la IA, OpenAI hizo el lunes una serie de anuncios centrados en ciberseguridad: una versión mejorada de su modelo especializado de acceso limitado GPT-5.5-Cyber, trabajo internacional ampliado con gobiernos y otras instituciones para entregarles "acceso confiable" a los últimos modelos centrados en ciberseguridad de la empresa, y la liberación de su scanner Codex Security como plug-in.

A medida que los avances en la industria de la IA dejan a proyectos críticos de open source en riesgo creciente de quedar rezagados, la compañía dijo también el lunes que lanza una iniciativa llamada Patch the Planet, fundada junto a la prominente firma de seguridad enfocada en investigación Trail of Bits y en colaboración con las empresas de gestión de vulnerabilidades HackerOne y Calif.

¿Cómo funciona Patch the Planet?

El proyecto ya comenzó a ofrecer servicios gratuitos de consultoría de seguridad a mantenedores de open source, no solo para ayudarlos a encontrar y parchar vulnerabilidades, sino también a fortalecer sus bases de código e incorporar herramientas de seguridad con IA en su proceso de desarrollo. La idea es entregar apoyo individualizado a la mayor cantidad de proyectos open source posible para mejorar tanto su seguridad actual como su resiliencia de largo plazo de manera sostenible.

"Patch the Planet es un esfuerzo a escala de internet para ayudar al software open source a mantenerse delante de las herramientas de IA cazadoras de bugs", dice Dan Guido, CEO y cofundador de Trail of Bits. "Pero también es un esfuerzo para ayudar a la comunidad open source a ver los beneficios y no solo las desventajas de las herramientas de codificación con IA".

Los desarrolladores open source, típicamente voluntarios que mantienen a flote software crítico y ampliamente usado con pocos recursos, frecuentemente ya están luchando para mantener al día los reportes de bugs. El alza de la búsqueda de vulnerabilidades con IA en los últimos meses ha hecho que, para muchos mantenedores, ese backlog se sienta inabordable mientras se acumulan reportes "slop" generados por IA, haciendo difícil priorizar y desviando atención y tiempo limitado de fallas críticas.

Los mantenedores "hacen su trabajo por amor al open source, y ahora están atrapados revisando CVEs basura", dice Fouad Matin, líder técnico de ciber de OpenAI. Con Patch the Planet, agrega, "lo que efectivamente hicimos fue hacerlo lo más eficiente posible desde una perspectiva de tokens para reducir la carga de los mantenedores: evaluaciones de la base de código, validación de reportes potenciales, creación de parches y su aterrizaje. Queremos compensar costos, ya sean tokens o personas, para realmente parchar la mayor cantidad de software del mundo posible".

Matin agrega que para su scanner Codex Security, que ha estado en research preview desde comienzos de este año, OpenAI viene subsidiando el uso tanto para código open source como privado "por la orden de 20 billones de tokens".

¿Cuántos proyectos ya participan?

Más de 30 proyectos open source ya participan en Patch the Planet, con más en camino. Para lanzar el proyecto, Trail of Bits condujo recientemente un sprint inicial de cinco días en el que 25 ingenieros, aproximadamente un quinto de su fuerza laboral, trabajaron simultáneamente en colaboraciones con un grupo de mantenedores. OpenAI y Trail of Bits aseguran que el proyecto ya descubrió cientos de bugs y produjo decenas de parches en apenas su primera semana. Guido dice que con el financiamiento de OpenAI y acceso ilimitado a sus modelos, Trail of Bits planea continuar su compromiso intenso con el trabajo de Patch the Planet a largo plazo.

"Es muy raro tener la oportunidad de trabajar en problemas de seguridad open source a gran escala", dice Guido. "Y Patch the Planet no es one-size-fits-all. Hablamos con todos los mantenedores de cada proyecto y averiguamos cuáles son sus prioridades más altas, ya sea construir mejor infraestructura de testing o fuzzers personalizados o simplemente limpiar data técnica del proyecto, porque eso es lo que va a hacerlos trabajar más rápido, operar más rápido y parchar más rápido".

¿Qué pasa con Anthropic mientras tanto?

Los anuncios del lunes de OpenAI llegan mientras su competidor Anthropic tuvo que retirar sus nuevos modelos Fable 5 y Mythos 5 del mercado a comienzos de este mes, en medio del temor de la administración Trump sobre las capacidades de ciberseguridad de la IA. La decisión de la Casa Blanca de aplicarle controles de exportación a Anthropic llegó después de que la compañía liberara públicamente el modelo Fable 5, grado Mythos, con bloqueos en sus capacidades biológicas y de ciberseguridad avanzadas, protecciones que la administración consideró inadecuadas.

Los anuncios del lunes de OpenAI, incluida la nueva versión de GPT-5.5-Cyber, son parte del programa limitado Trusted Access for Cyber de la compañía y no involucran un release público. Pero con Anthropic y OpenAI preparándose para sus IPOs, la competencia claramente continúa más allá de qué productos están actualmente en el mercado. En su anuncio sobre GPT-5.5-Cyber, por ejemplo, OpenAI destaca que el modelo logra 85,6% en el benchmark conocido como CyberGym, una mejora respecto de una versión previa. Ese rendimiento también supera a Mythos 5 de Anthropic, que obtuvo 83,8%.

En medio de esta carrera por la ciberseguridad con IA, la alianza de inteligencia Five Eyes advirtió en una inusual declaración conjunta el lunes que "los modelos de IA de frontera anticipadamente excederán las expectativas actuales de la industria, transformando fundamentalmente las capacidades ofensivas y defensivas en ciberseguridad. La línea de tiempo no son años, son meses... En este entorno, la resiliencia cibernética es integral".

Por su parte, Patch the Planet deja a los participantes con seis meses gratis de ChatGPT Pro y seis meses de Codex Security, además de mejoras de infraestructura y flujo de trabajo que pueden llevarse adelante con un conjunto de herramientas e ingenieros humanos.

"Con Patch the Planet hasta ahora, solo cerca de la mitad del tiempo se dedicó a encontrar bugs", dice Guido de Trail of Bits. "Estamos tratando de encontrar los bugs más superficiales, más fáciles de descubrir, más severos y barrerlos de la mesa, pero la otra mitad del tiempo la pasamos personalizando agentes para trabajar sobre la base de código, así podemos dejarlos atrás y enseñar a los mantenedores a usarlos".

Actualización del 22 de junio a las 13:05 hora del Este: se agregaron detalles adicionales sobre el programa Patch the Planet.