OpenAI zet cybermodellen in tegen open-source kwetsbaarheden

In nauwe samenwerking met cybersecuritybedrijf Trail of Bits koppelt het project AI-ondersteund beveiligingsonderzoek aan menselijke controle. Het doel is niet alleen het vinden van gaten in de beveiliging, maar ook het proactief aanleveren van de benodigde reparaties (patches).

Hoe Patch the Planet werkt: De menselijke filter

Het grootste struikelblok bij geautomatiseerde kwetsbaarheidsdetectie is het hoge aantal 'false positives'—valse alarmen die kostbare tijd opslokken. Patch the Planet pakt dit anders aan door een strikte menselijke filter in te bouwen.

Samenwerking op maat: Beveiligingsexperts stemmen vooraf af met de beheerders van open-source projecten om te bepalen waar de prioriteiten liggen, of dat nu gaat om vulnerability-validatie, patch-ontwikkeling of CI/CD-verbeteringen.

Menselijke validatie: Voordat een melding de beheerder bereikt, reproduceren onderzoekers van Trail of Bits het bewijs, controleren ze de bevindingen en schrijven ze de daadwerkelijke patches.

Beheerder blijft de baas: De uiteindelijke controle over welke patches worden doorgevoerd en hoe de kwetsbaarheid openbaar wordt gemaakt, blijft volledig in handen van de projectbeheerders.

De eerste golf van deelnemende projecten omvat vitale internetinfrastructuur, waaronder cURL, Python, de Go-taal, NATS Server, pyca/cryptography en freenginx. Naast de expertise van Trail of Bits wordt er samengewerkt met HackerOne en Calif voor de triage en gecoördineerde openbaarmaking van datalekken.

Veldnotities: Weken werk verkort tot één dag

De inzet van OpenAI’s nieuwste cybermodellen, waaronder GPT-5.5-Cyber en Codex Security, werpt nu al zijn vruchten af. Trail of Bits-engineers die fulltime met deze systemen werken over 19 open-source projecten, melden dat processen die normaal weken of maanden duren, nu in dagen worden geklaard.

Enkele vroege technologische doorbraken:
Een fuzzing-lab binnen 24 uur: Door AI in te zetten om testomgevingen te bouwen (fuzzing), wist het team binnen één dag een volledige testinfrastructuur op te zetten voor tientallen platforms en edge cases. Normaal gesproken kost dit handmatige proces meerdere weken.

Automatische variant-analyse: Er is een herbruikbare pipeline gebouwd die historische kwetsbaarheden (CVE's) analyseert en codebases scant op soortgelijke patronen. Dit transformeert jaren aan publieke misstappen in een herhaalbare zoekstrategie.

Differentiële testen in recordtijd: Door verschillende implementaties van hetzelfde protocol tegen elkaar uit te spelen, kwamen gedragsverschillen en bugs snel aan het licht. De AI schreef de benodigde koppelcode in een paar dagen in plaats van maanden.

Wat het initiatief nu al heeft blootgelegd

De resultaten van de eerste sprints tonen aan dat AI-modellen in staat zijn om diep in de softwarestack door te dringen. Hoewel veel specifieke details nog vertrouwelijk zijn vanwege lopende reparatieprocessen, zijn de eerste cijfers overtuigend:

Besturingssystemen
Linux Kernel: GPT-5.5-Cyber scande meer dan 30 miljoen regels code. Dit resulteerde in de automatische generatie van 8 proof-of-concepts (PoCs) voor informatielekken en 24 lokale escalatie-exploits (LPE's).

OpenBSD: De AI identificeerde een 23 jaar oude bug (use-after-free) in de kernel-implementatie van System V-semaforen, waarmee een lokale gebruiker root-toegang kon krijgen.

FreeBSD: In samenwerking met Calif werden tientallen kwetsbaarheden bevestigd en 7 LPE-proof-of-concepts geleverd.

Netwerken en Browsers
Netwerkinfrastructuur: Codex Security identificeerde zelfstandig kwetsbare patronen die overeenkomen met vier recente dnsmasq-CVE's uit 2026. Daarnaast werd de "HTTP/2 Bomb"-techniek blootgelegd, een denial-of-service-aanval die potentieel 880.000 websites trof.

Webbrowsers: In Google Chrome (V8) werden vijf exploiteerbare kwetsbaarheden gevonden. Voor Apple Safari (WebKit) stond de teller na een week op meer dan tien.

Firefox: Tijdens veiligheidsevaluaties ontdekte OpenAI een kritiek WebAssembly-lek (CVE-2026-8390). Mozilla patchte dit twee dagen voor de bekende Pwn2Own Berlijn-hackerwedstrijd, waardoor vijf van de zes ingeschreven Firefox-teams hun aanval moesten terugtrekken.

Gedeelde infrastructuur, gedeelde defensie

Open-source software vormt het fundament van de moderne digitale wereld. Het beveiligen ervan kan volgens OpenAI niet langer alleen op de schouders van individuele, vaak overwerkte beheerders rusten.

Met Patch the Planet hopen de initiatiefnemers een blauwdruk te leveren voor de toekomst van cybersecurity: een model waarin AI het zware defensieve tilwerk doet, menselijke experts de kwaliteit bewaken en de open-source gemeenschap kosteloos de vruchten plukt van een veiligere infrastructuur. Het project nodigt andere open-source beheerders uit om zich aan te melden voor toekomstige rondes.