OpenAI「Patch the Planet」始動 ── AI活用で30超のOSSの脆弱性修正を支援

1. OpenAIがTrail of Bits・HackerOneと連携し、OSSの脆弱性修正をAIで支援する「Patch the Planet」を2026年6月22日に発表した
2. 初回5日間のスプリントで19プロジェクトを対象に64件のPR提出・37件マージ、51件のIssue報告を達成した
3. cURL・Python・Go・PyPIなど30超のプロジェクトが参加登録済みで、ウェイトリストも拡大中

概要 ── Daybreakサイバーセキュリティ構想の一環

OpenAIは2026年6月22日、オープンソースソフトウェア（OSS）の脆弱性発見と修正をAIで支援するプログラム「Patch the Planet」を発表した。同社が推進するサイバーセキュリティ構想「Daybreak」の一環として位置づけられている。

セキュリティ監査企業Trail of Bitsおよびバグバウンティプラットフォームを運営するHackerOne、さらにCalifと連携し、OSSメンテナーが抱えるセキュリティ対応の負荷を軽減することを目的としている。

初回スプリントの成果

OpenAIの発表によると、初回の5日間スプリントでは19のオープンソースプロジェクトを対象に作業が実施された。Trail of Bitsが確認した成果は以下のとおり。

• 64件のプルリクエストを提出
• うち37件のパッチがマージ済み
• 51件のIssueを報告（うち19件は修正完了でクローズ）
• 数百件のバグを発見

現在、30を超えるプロジェクトが参加登録を完了しており、ウェイトリストも増加中とされる。参加プロジェクトにはcURL、Python、Go、Sigstore、pyca/cryptography、aiohttp、NATS Server、freenginx、urllib3、PyPI、SimpleX、Valkey、RustCryptoなど、広く利用されている基盤的なOSSが含まれる。

使用技術と人間によるレビュー体制

脆弱性の発見にはOpenAIのサイバーセキュリティ特化モデル「GPT-5.5-Cyber」と「Codex Security」が使用されている。OpenAIによると、GPT-5.5-Cyberはサイバーセキュリティベンチマーク「CyberGym」で85.6%のスコアを記録したモデルである。

注目すべきは、AIが発見した全ての知見がTrail of Bitsのセキュリティエンジニアによる手動レビューを経てからメンテナーに報告される体制をとっている点だ。AIの誤検知がそのまま開発者に届くことを防ぐ設計になっている。

再利用可能なセキュリティインフラの構築

Patch the Planetの成果は個別のバグ修正にとどまらない。OpenAIの発表によれば、プログラムを通じて以下のような再利用可能なセキュリティインフラが生成されている。

• ファジングハーネス：継続的にソフトウェアの異常動作を検出するテスト基盤
• 過去のCVE分析パイプライン：既知の脆弱性パターンを体系的に検査する仕組み
• 差分テストシステム：実装間の挙動差異を検出する仕組み
• 脅威モデル：プロジェクト固有のリスク分析
• 拡張テストスイート：既存テストの網羅性向上

これらはスプリント終了後もプロジェクトに残り、メンテナーが継続的に活用できる資産となる。

出典・但し書き

出典:

• Patch the Planet: a Daybreak initiative to support open source maintainers | OpenAI（2026年6月22日公開）

但し書き:

• CyberGymスコア85.6%はOpenAIの自己申告値であり、独立検証結果ではない
• 「数百件のバグ」の具体的な内訳・重大度分布は公式発表では示されていない
• プログラムの長期的な持続性（スプリント頻度・資金源・参加条件の変化）については未詳