OpenAI:s AI hittade en 23 år gammal säkerhetsbrist och fick hackinglag att dra sig ur
OpenAI lanserade den 22 juni Patch the Planet, ett initiativ där AI-modeller används för att hitta, granska och åtgärda säkerhetshål i öppen källkod. Resultaten hittills är svåra att avfärda.
GPT-5.5-Cyber hittade en 23 år gammal bugg i OpenBSD:s kärna, alltså i ett säkerhetsfokuserat operativsystem, som kunde ge vanliga användare full administratörsåtkomst. OpenAI:s forskare identifierade fem utnyttjbara sårbarheter i Chromes JavaScript-motor. De hittade över tio exploaterbara brister i Safari på ungefär en vecka.
I Firefox upptäcktes en WebAssembly-sårbarhet, alltså ett fel i tekniken som låter webbläsare köra snabb kod direkt på webben. Mozilla patchade felet två dagar före Pwn2Own Berlin, en internationell hackingtävling, vilket fick fem av sex anmälda Firefox-bidrag att dra sig ur.
Arbetet görs tillsammans med säkerhetsbolaget Trail of Bits, som granskar varje fynd manuellt innan det skickas vidare till dem som underhåller projekten. Det är en viktig detalj. AI producerar inte bara korrekta fynd, utan också stora mängder falsklarm. Utan mänsklig granskning riskerar underhållare att drunkna i rapporter.
Det är också den intressantaste konsekvensen. AI kan nu hitta vissa sårbarheter i en takt som tidigare krävde betydligt mer manuellt expertarbete. Men varje fynd kräver fortfarande att någon verifierar det, bedömer allvarligheten, skriver en patch, testar den och koordinerar en ansvarsfull publicering.
Flaskhalsen har flyttat från att hitta problem till att hantera dem.
Projekten som ingår i första omgången är bland annat cURL, Python, Go och freenginx. Det är inte nischprojekt, utan infrastruktur som svenska kommuner, banker, myndigheter och SaaS-bolag använder varje dag, ofta utan att tänka på det.
Om AI börjar stärka säkerheten i den koden märks det inte som en ny produkt. I bästa fall märks det som färre sårbarheter som hinner utnyttjas.
Frågan är om open source-världen klarar takten. Underhållare av kritisk mjukvara arbetar ofta med begränsad tid och begränsade resurser. Snabbare upptäckt hjälper bara om det också finns kapacitet att agera på fynden.