오픈AI(OpenAI)가 2026년 6월 보안 연구 전문기업 Trail of Bits와 협력해 오픈소스 소프트웨어의 보안 취약점을 AI 기술로 탐지하고 수정하는 ‘Patch the Planet’ 프로젝트를 공식 발표했다. 이 이니셔티브는 오픈AI의 ‘Daybreak’ 보안 프로그램의 일환으로, 전 세계 오픈소스 프로젝트 유지관리자들이 부족한 인력과 자원으로 쏟아지는 취약점 보고를 감당해야 하는 현실적인 부담을 줄이기 위해 설계됐다. Trail of Bits는 보안 연구 조직 전체를 이 프로젝트에 투입하기로 약정했으며, 취약점 검증과 패치 개발, 공개 조율 업무를 직접 수행한다.
초기 참여 프로젝트에는 cURL, Python, Go, NATS Server, pyca/cryptography, Sigstore, aiohttp, freenginx, python.org 등 광범위하게 쓰이는 네트워킹·암호화·소프트웨어 공급망 기반 프로젝트들이 포함됐다. Trail of Bits 연구자들은 오픈AI의 프론티어 모델과 코덱스 시큐리티(Codex Security) 도구를 활용해 취약점을 분석하고 패치를 개발한다. 프로젝트에 참여하는 오픈소스 유지관리자들에게는 ChatGPT Pro 접근 권한과 API 크레딧이 지원된다. 첫 스프린트에서 이미 수백 건의 보안 이슈가 발견됐고 수십 개의 패치가 병합됐다.
이번 프로젝트에서 AI의 실제 성과도 구체적으로 공개됐다. Trail of Bits 엔지니어들은 GPT-5.5-Cyber를 활용해 하루 만에 수십 개 진입점을 커버하는 퍼징(fuzzing) 테스트 환경을 구축했는데, 동일한 작업을 수작업으로 할 경우 수 주가 걸린다는 것이 이들의 추산이다. 또한 리눅스 커널에서 8건의 커널 포인터 정보 누출 개념 증명(PoC)과 24건의 로컬 권한 상승 익스플로잇이 발견됐으며, OpenBSD에서는 23년 된 use-after-free 취약점이 확인됐다. 구글 크롬 V8 자바스크립트 엔진에서도 악용 가능한 취약점 5건이 발굴됐다. HTTP/2 구현체의 서비스 거부 기법인 ‘HTTP/2 Bomb’도 적발됐으며, 이 기법에 취약한 인터넷 향 서버가 88만 개를 넘는 것으로 분석됐다.
오픈AI 측은 AI가 취약점 탐색 속도를 높이는 동시에 다수의 오탐(false positive)도 양산하기 때문에, Trail of Bits 엔지니어가 모든 발견 사항을 유지관리자에게 전달하기 전에 수작업으로 재검증하는 구조를 설계에 포함시켰다고 설명했다. 이는 AI 보안 도구가 일으킬 수 있는 ‘알림 폭주’ 문제를 방지하기 위한 것이다. 앤트로픽(Anthropic)이 같은 시기에 공개한 사이버보안 도구 ‘Mythos’를 의식한 행보라는 시각도 있다. 오픈AI는 HackerOne 등 외부 보안 협력사와 함께 취약점 심사 및 공개 조율을 강화하며, 수정과 공개 조율이 완료되는 시점에 개별 발견 사항에 대한 심층 기술 보고서를 추가로 공개할 계획이다.
