OpenAI ha lanzado el 22 de junio la versión completa de GPT-5.5-Cyber y el programa Patch the Planet, dentro de su plataforma Daybreak. El objetivo es claro: pasar de encontrar vulnerabilidades a realmente corregirlas, en el software que millones de personas usan a diario sin saberlo.
Qué ha pasado exactamente
OpenAI ha expandido Daybreak con tres lanzamientos simultáneos. Primero, GPT-5.5-Cyber en versión completa, disponible solo para investigadores de seguridad verificados, que alcanza el 85,6% en CyberGym (frente al 81,8% de GPT-5.5 estándar), el 39,5% en ExploitGym y el 69,8% en SEC-bench Pro. Segundo, un plugin Codex Security integrado en los flujos de desarrollo que ya ha escaneado más de 30 millones de commits en más de 30.000 repositorios desde su preview de marzo, con más de 70.000 hallazgos marcados como corregidos manualmente. Tercero, Patch the Planet, fundado con Trail of Bits y HackerOne, con más de 30 proyectos comprometidos: cURL, Python, Go, Sigstore, pyca/cryptography, aiohttp, NATS Server y freenginx entre los primeros. Los ingenieros de Trail of Bits trabajan a tiempo completo en 19 proyectos usando Codex y GPT-5.5-Cyber, con cientos de problemas identificados y decenas de parches ya fusionados.
Por qué importa
El cambio de fondo que señala OpenAI es real: la IA ha acelerado tanto el descubrimiento de vulnerabilidades que el cuello de botella ya no es encontrarlas, sino parchearlas antes de que los atacantes las exploten. Los resultados son concretos: un lab de fuzzing completo construido en menos de un día (lo mismo habría tardado semanas de forma manual), un fallo de 23 años en el kernel de OpenBSD encontrado y confirmado como escalada de privilegios a root, 34 vulnerabilidades confirmadas en FreeBSD, 5 bugs explotables en el motor V8 de Chrome, y un fallo en WebAssembly de Firefox parcheado dos días antes de Pwn2Own Berlin. El resultado fue que 5 de los 6 equipos registrados para atacar Firefox se retiraron del concurso.
Qué significa en España
Para un desarrollador o empresa española, esto tiene dos lecturas. La primera es directa: si usas Python, cURL, Go o cualquier proyecto de la lista, tu software será más seguro porque OpenAI y Trail of Bits están corrigiendo vulnerabilidades que de otro modo tardarían años en encontrarse. La segunda es competitiva: el AI Act europeo exige que los sistemas de IA de alto riesgo tengan garantías de ciberseguridad. Herramientas como Codex Security, en manos de los socios del programa (Cisco, Cloudflare, CrowdStrike, Palo Alto Networks, IBM), van a convertirse en requisito para cumplimiento regulatorio en sectores como fintech, salud o infraestructura crítica. Las empresas españolas en esos sectores deben seguir de cerca a qué socios del Daybreak Cyber Partner Program tienen acceso y en qué condiciones.
Análisis
La jugada de OpenAI es inteligente y, al mismo tiempo, hay que leerla con perspectiva. Es una respuesta directa a Anthropic, cuyo proyecto Glasswing (con Claude Mythos) encontró miles de vulnerabilidades de alta gravedad en los principales sistemas operativos y navegadores. OpenAI necesitaba una respuesta en el mismo terreno. Patch the Planet la da, y va un paso más allá porque no solo encuentra fallos sino que los parcheamos de verdad con ingenieros humanos de revisión. Eso es lo diferencial real.
El riesgo es que sea un sprint de lanzamiento y Trail of Bits reduzca su implicación después del ciclo de prensa. Si el programa escala de verdad más allá de los 30 proyectos iniciales, cambia la cadena de suministro de software de forma estructural. Si no, es marketing caro. La métrica a seguir en los próximos meses: si los parches siguen llegando o el repositorio de Patch the Planet queda en silencio.
Herramientas relacionadas
- Claude Code — el agente de terminal de Anthropic que también integra capacidades de análisis de código, y compite en el mismo espacio que Codex Security.
- Cursor — editor de código con IA que puede combinarse con modelos especializados; relevante si quieres integrar análisis de seguridad en tu flujo de desarrollo.
- GitHub Copilot — la alternativa de Microsoft en análisis de vulnerabilidades de código, directa competidora de Codex Security en entornos enterprise.