// TOM'S HARDWARE ITALIA — INTELLIGENZA ARTIFICIALE
OpenAI porta GPT-5.5-Cyber a caccia di bug nell'open source: prima settimana, 37 patch fuse
La catena che garantisce la sicurezza di gran parte dell'infrastruttura digitale mondiale si regge su decine di miliardi di righe di codice scritte e mantenute da poche migliaia di persone. La maggior parte lavora su base volontaria, con risorse limitate e senza team di sicurezza dedicati. OpenAI ha deciso di portare la propria capacità di ricerca delle vulnerabilità a supporto di questa catena, lanciando "Patch the Planet" in collaborazione con Trail of Bits. Nella prima settimana di operazione concentrata su 19 progetti, il programma ha prodotto centinaia di finding, 64 pull request aperte e 37 patch fuse nel codice sorgente. Ogni cambiamento ha passato prima la revisione di un ricercatore umano.
Il programma si innesta sull'iniziativa Daybreak, già attiva da maggio 2026, che utilizza Codex Security e GPT-5.5-Cyber per modellare attacchi, validare vulnerabilità in ambienti controllati, sviluppare patch e verificarne il funzionamento. Patch the Planet ne è l'estensione verso il software open source, con un perimetro che include progetti fondamentali per la sicurezza dell'ecosistema digitale: cURL, Python, il linguaggio Go, pyca/cryptography, Sigstore, NATS Server, aiohttp, freenginx. Chi ha mai usato Python, scaricato un file via HTTPS o autenticato con un certificato digitale ha usato codice che questi progetti difendono.
L'architettura operativa di Patch the Planet chiarisce cosa GPT-5.5-Cyber fa e cosa no. Il modello — descritto da OpenAI come il più forte finora sviluppato per trovare e correggere vulnerabilità software — analizza codebase di grandi dimensioni in modo continuativo, identifica problemi potenziali, simula come potrebbero essere sfruttati, e propone una patch con test di validazione. Ma ogni proposta passa ancora attraverso un ricercatore di sicurezza umano che ne verifica la correttezza tecnica e la compatibilità con il progetto, prima che venga inviata come pull request ai maintainer. I maintainer del progetto decidono se e quando fondere il cambiamento.
Questo non è un dettaglio procedurale. È il punto strutturale che distingue il programma da un sistema automatizzato di patching. Trail of Bits, partner fondatore insieme a HackerOne e Calif, mantiene la revisione umana come nodo obbligatorio della filiera. Il risultato è un ciclo discovery-validazione-disclosure-patch-test-deploy che usa l'AI per accelerare le fasi intensive, ma non sostituisce il giudizio tecnico sui cambiamenti che entrano nel codice sorgente di sistemi usati da centinaia di milioni di persone.
Il problema della sicurezza open source non è la scarsità di strumenti di analisi: è la scarsità di persone che hanno il tempo e le competenze per trasformare i finding in patch verificate e distribuite. Uno strumento di scansione automatica che produce vulnerabilità senza risolverle aggiunge carico cognitivo ai maintainer invece di ridurlo. Un programma come Patch the Planet si propone di chiudere il ciclo: non consegnare un elenco di problemi, ma consegnare una proposta di soluzione testata.
Il caso di OpenSSL documenta l'entità del problema. Quando il team di OpenAI aveva già avviato Daybreak, OpenSSL aveva corretto 18 vulnerabilità — alcune trovate con l'AI — in un ciclo di release. OpenSSL è al cuore di connessioni sicure per una quota enorme del web: una singola falla critica può impattare miliardi di sessioni. La capacità di GPT-5.5-Cyber di "sostenere un'analisi più profonda su codebase di grandi dimensioni" è particolarmente rilevante per progetti come questo, dove le vulnerabilità si annidano in interazioni tra componenti distanti nel codice, non in singole righe isolate.
Il contesto in cui si inserisce Patch the Planet non è soltanto tecnico. La supply chain del software è diventata negli ultimi anni un vettore primario di attacchi critici — SolarWinds, Log4Shell, XZ Utils. Ogni dipendenza open source in un'applicazione enterprise è un potenziale punto di ingresso. La maggior parte delle grandi imprese usa decine di librerie open