OpenAI je u ponedeljak, 22. juna 2026, predstavio inicijativu pod nazivom „Patch the Planet”, program kojim kompanija nudi pomoć zajednici otvorenog koda u pronalaženju i ispravljanju bezbednosnih propusta. Program se oslanja na Aardvark, agentskog „bezbednosnog istraživača” zasnovanog na modelu GPT-5, i sprovodi se u saradnji sa bezbednosnom firmom Trail of Bits.
Najava dolazi u trenutku kada se industrija veštačke inteligencije sve češće okreće sopstvenim alatima za odbranu softvera, umesto da ih posmatra samo kao izvor rizika. OpenAI poruku okvirno postavlja tako da se isti agenti koji bi mogli da olakšaju sajber napade mogu upotrebiti i da napade preduprede.
Šta tačno obuhvata „Patch the Planet”
Prema saopštenju kompanije, težište programa je na projektima otvorenog koda koji čine osnovu velikog dela savremenog softvera, a često ih održava mali broj volontera bez sredstava za temeljne bezbednosne provere. OpenAI navodi da će bezbednosni inženjeri iz firme Trail of Bits raditi direktno sa održavaocima projekata, pregledati moguće propuste i pomagati u izradi zakrpa.
Kompanija je opisala tok rada u nekoliko koraka. Kako je OpenAI saopštio, bezbednosni inženjeri pregledaju nalaze pre nego što stignu do održavalaca, sarađuju sa projektima na izradi zakrpa i testova i grade ponovljive radne tokove. Cilj je, kako se navodi, da održavaoci ne dobiju sirov spisak upozorenja, već već proverene prijave sa predlogom rešenja. U procesu se koristi i alat Codex Security, koji pomaže u analizi koda.
OpenAI je najavio i besplatno skeniranje za odabrane nekomercijalne projekte otvorenog koda, u okviru takozvanog koordinisanog otkrivanja propusta. To je ustaljena praksa u bezbednosti softvera, po kojoj se ranjivost prvo prijavljuje održavaocu i drži poverljivom dok zakrpa ne bude spremna, pa se tek onda objavljuje javno.
Kako radi Aardvark
Aardvark je agent koji, prema OpenAI-jevom opisu, prati izmene i nove unose u kod, pokušava da prepozna ranjivosti, objasni kako bi mogle da budu zloupotrebljene i predloži ispravku. Za razliku od klasičnih alata za statičku analizu, koji uglavnom uparuju kod sa unapred poznatim obrascima grešaka, agentski pristup podrazumeva da model čita izmene u kontekstu celog projekta i sam pravi pretpostavke o tome gde bi propust mogao da nastane.
Kompanija tvrdi da je Aardvark već primenjen na više repozitorijuma otvorenog koda i da je tamo pronašao stvarne ranjivosti. Prema navodima OpenAI-ja, deset pronađenih propusta dobilo je zvanične CVE oznake, identifikatore koji se u bezbednosnoj zajednici dodeljuju potvrđenim ranjivostima. Te brojke nije moguće nezavisno proveriti iz javno dostupnih izvora, pa ih treba čitati kao tvrdnju kompanije.
Zašto je otvoreni kod osetljiva tačka
Otvoreni kod je nevidljiva infrastruktura većine digitalnih proizvoda. Biblioteke i alati koje održavaju pojedinci ili male grupe ugrađeni su u bankarske aplikacije, državne sisteme i komercijalni softver, uključujući i firme i institucije u regionu. Propust u jednoj široko korišćenoj komponenti može da se prelije na hiljade sistema, što je 2021. godine pokazao slučaj ranjivosti u biblioteci Log4j.
Problem je u nesrazmeri. Veliki broj kritičnih projekata oslanja se na volonterski rad, dok bezbednosne revizije zahtevaju vreme i stručnost koje održavaoci često nemaju. Upravo na tu prazninu OpenAI cilja kada nudi automatsko skeniranje i ljudsku proveru nalaza. Ako program zaživi, mogao bi da rastereti održavaoce koji godinama upozoravaju da ne stižu da isprate ni redovne prijave grešaka, a kamoli sistematske bezbednosne preglede.
Otvorena pitanja i rizici
Ostaje pitanje koliko su nalazi agentskih alata pouzdani u praksi. Modeli veštačke inteligencije skloni su takozvanim halucinacijama, izmišljanju uverljivih ali netačnih tvrdnji, što kod prijava ranjivosti znači lažne uzbune. Deo zajednice otvorenog koda već je upozoravao da automatski generisani izveštaji o greškama umeju da zatrpaju održavaoce prijavama koje deluju ozbiljno, a zapravo su neupotrebljive. Održavaoci popularnih projekata, među njima i tima oko alata curl, ranije su javno govorili o tome da provera takvih prijava troši više vremena nego što donosi koristi.
OpenAI na taj prigovor odgovara upravo umetanjem ljudskog koraka, jer inženjeri firme Trail of Bits treba da odvoje stvarne propuste od šuma pre nego što išta stigne do održavaoca. Koliko će taj filter biti delotvoran kada se broj skeniranih projekata poveća, pokazaće tek primena.
Postoji i šira, dvostruka priroda ovakvih alata. Sistem koji ume da pronađe ranjivost pre napadača jednako dobro može da posluži i nekome ko traži slabu tačku da je iskoristi. OpenAI ističe odbrambenu primenu i kontrolisano otkrivanje propusta, ali sama sposobnost automatskog pronalaženja grešaka u tuđem kodu ostaje osetljiva, bez obzira na to ko je u datom trenutku koristi.
Deo šire trke u bezbednosti
Inicijativa se uklapa u širi pomak na tržištu, gde se veliki igrači u veštačkoj inteligenciji nadmeću i u domenu bezbednosti softvera. Anthropic je tokom proteklih nedelja takođe naglašavao bezbednosne sposobnosti svojih najjačih modela, dok pojam agenta koji samostalno analizira i menja kod postaje sve prisutniji u ponudi svih velikih laboratorija. „Patch the Planet” je OpenAI-jev pokušaj da tu sposobnost veže za konkretan, javno vidljiv cilj, zaštitu otvorenog koda od kojeg zavisi ostatak industrije.
Za sada je reč o najavi sa jasnim okvirom, ali bez objavljenog spiska projekata obuhvaćenih besplatnim skeniranjem i bez nezavisne potvrde rezultata. Da li će program zaista smanjiti broj propusta u ključnim bibliotekama ili samo dodati novi sloj automatizovanih prijava, zavisiće od toga koliko pažljivo bude vođen u mesecima koji slede.
Često postavljana pitanja
Šta je „Patch the Planet”?
To je inicijativa koju je OpenAI najavio 22. juna 2026, u saradnji sa firmom Trail of Bits, sa ciljem da pomogne projektima otvorenog koda da pronađu i isprave bezbednosne propuste. Oslanja se na agentskog istraživača Aardvark i alat Codex Security.
Šta je Aardvark?
Aardvark je agent zasnovan na modelu GPT-5 koji prati izmene u kodu, pokušava da prepozna ranjivosti, objasni kako bi mogle da budu iskorišćene i predloži ispravku. OpenAI navodi da je već pronašao stvarne propuste, od kojih je deset dobilo zvanične CVE oznake.
Da li je skeniranje besplatno?
OpenAI je najavio besplatno skeniranje za odabrane nekomercijalne projekte otvorenog koda, u okviru koordinisanog otkrivanja propusta. Spisak obuhvaćenih projekata u trenutku najave nije objavljen.
Koji su glavni rizici?
Najčešće se navode lažne uzbune, jer modeli umeju da prijave nepostojeće greške, kao i opasnost da automatski izveštaji zatrpaju održavaoce. Tu je i dvostruka priroda alata, jer sistem koji pronalazi ranjivosti može poslužiti i napadaču. OpenAI zato uvodi ljudsku proveru nalaza pre nego što stignu do održavalaca.
