Nelle scorse ore OpenAI ha annunciato Patch the Planet, un'iniziativa sviluppata in partnership con Trail of Bits all'interno del programma Daybreak e pensata per aiutare i maintainer dei progetti open source pi� critici a scoprire e correggere le vulnerabilit� di sicurezza. L'idea di fondo � che i modelli di frontiera abbiano accelerato a tal punto la scoperta dei bug da spostare il punto critico dal trovare le falle al produrre le correzioni, con il rischio di sommergere di segnalazioni manutentori spesso volontari. A dare la misura dell'iniziativa sono i numeri della prima settimana, diffusi da Trail of Bits nel suo resoconto di prima mano: centinaia di bug individuati, 64 pull request e 51 issue aperte su 19 progetti, con 37 patch gi� integrate. Il motore tecnico � GPT-5.5-Cyber, che OpenAI descrive come il suo modello pi� potente finora per trovare e aiutare a correggere le vulnerabilit� software, capace di analizzare in profondit� grandi codebase, validare i risultati in ambiente controllato e sviluppare le patch. In un caso documentato da Trail of Bits il modello ha messo in piedi da solo un intero laboratorio di fuzzing: ha compilato il codice con i sanitizer, raccolto un corpus di seed iniziali e scritto gli harness per una dozzina di punti d'ingresso, in meno di un giorno: un lavoro che secondo la societ� sarebbe costato a un esperto umano dalle due alle tre settimane. In parallelo � arrivata una versione aggiornata del plugin Codex Security, che offre scansione approfondita, report con livelli di severit�, tracciamento degli attack path, threat modeling e generazione di patch specifiche per la singola codebase. Cosa ricevono i progetti Il meccanismo prevede che gli ingegneri di sicurezza di Trail of Bits revisionino le scoperte prima che arrivino ai maintainer, collaborino allo sviluppo di patch e test e costruiscano workflow riutilizzabili per continuare a migliorare la sicurezza anche dopo le prime correzioni. Tra i progetti coinvolti nella fase iniziale figurano cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, il progetto Go, freenginx, Python e python.org. I partecipanti ricevono accesso a ChatGPT Pro, accesso condizionale al plugin Codex Security e crediti API da destinare allo sviluppo open source, all'automazione dei maintainer e ai workflow di rilascio. Oltre 30 progetti hanno gi� aderito e la lista d'attesa continua a crescere. Il bilancio di Daybreak Patch the Planet si innesta su un programma, Daybreak, che ha gi� un curriculum corposo. Il programma ha gi� prodotto 8 proof-of-concept di information leak sui puntatori del kernel e 24 exploit di local privilege escalation nel kernel Linux, una use-after-free rimasta nascosta per 23 anni in OpenBSD, 34 vulnerabilit� in FreeBSD, 6 in dnsmasq, una tecnica di denial of service HTTP/2 ribattezzata Bomb efficace contro NGINX, Apache, IIS e Pingora, 5 falle nel motore V8 di Chrome, 10 in Safari e la CVE-2026-8390 in Firefox. A queste si aggiunge una vulnerabilit� lunga 29 anni nel proxy web Squid (CVE-2026-47729, battezzata Squidbleed), capace di far trapelare in chiaro le richieste HTTP di altri utenti. Per seguire l'avanzamento in tempo reale Trail of Bits ha costruito un bot interno, soprannominato Patchy, che annuncia su Slack ogni nuova scoperta e ogni patch integrata. Al momento non � chiaro quanto di questo ritmo sia replicabile sui maintainer che restano fuori dal perimetro dell'iniziativa, senza ingegneri dedicati a filtrare le segnalazioni a monte.