OpenAI uruchamia „Patch the Planet”, aby zabezpieczyć ekosystemy open-source

OpenAI oficjalnie wkroczyło do walki o cyberbezpieczeństwo, uruchamiając „Patch the Planet” – nową inicjatywę mającą na celu wzmocnienie oprogramowania open-source, które napędza współczesną cyfrową gospodarkę. Łącząc specjalistyczną wiedzę ludzką z zaawansowanymi narzędziami AI, firma dąży do proaktywnego identyfikowania i naprawiania podatności, zanim zostaną one wykorzystane przez cyberprzestępców.

Strategiczne partnerstwo z Trail of Bits

Mając na uwadze, że opiekunowie projektów open-source są często przytłoczeni napływem raportów o błędach i ograniczonymi zasobami, OpenAI nawiązuje współpracę z renomowaną firmą zajmującą się bezpieczeństwem, Trail of Bits. Współpraca ta ma pełnić rolę usługi „code EMT” (ratownictwa medycznego dla kodu) dla społeczności programistów.

Zamiast po prostu zalewać opiekunów automatycznymi alertami, inżynierowie bezpieczeństwa z Trail of Bits będą pracować bezpośrednio z liderami projektów, aby przeglądać potencjalne problemy, dokonywać segregacji (triage) znalezisk oraz opracowywać solidne poprawki i testy. Podejście typu „human-in-the-loop” (człowiek w pętli) zapewnia, że ulepszenia bezpieczeństwa będą możliwe do wdrożenia i nie zwiększą istniejącego obciążenia administracyjnego zdecentralizowanych opiekunów projektów.

Wykorzystanie Codex Security do automatycznej obrony

Sercem tej inicjatywy jest własna technologia bezpieczeństwa OpenAI, a konkretnie narzędzia takie jak Codex Security. Podczas gdy większość ostatnich dyskusji na temat dużych modeli językowych (LLM) koncentrowała się na ich zdolności do automatyzacji cyberprzestępczości, OpenAI próbuje odwrócić tę sytuację.

Branża wyraziła znaczne obawy dotyczące narzędzi takich jak Mythos od Anthropic, które mogą być wykorzystywane do identyfikowania błędów i generowania exploitów. Strategia OpenAI polega na wykorzystaniu tej samej podstawowej zdolności – umiejętności AI do analizy i rozumienia złożonych baz kodu – jako tarczy obronnej. Poprzez integrację Codex Security z procesem „Patch the Planet”, inicjatywa ma na celu automatyzację wykrywania podatności, co pozwoli inżynierom skupić się na naprawie wysokiego poziomu oraz tworzeniu reużywalnych procesów bezpieczeństwa.

Dlaczego bezpieczeństwo open-source ma znaczenie dla globalnej technologii

Stawka w tej inicjatywie nie mogłaby być wyższa. Projekty open-source stanowią cyfrowy fundament niemal całego oprogramowania komercyjnego, jednak często brakuje im scentralizowanego monitoringu niezbędnego do utrzymania wysokich standardów bezpieczeństwa. Branża wciąż żywo pamięta aferę z Log4j, kiedy to pojedyncza podatność w powszechnie używanym narzędziu open-source wywołała masowy, kaskadowy kryzys w globalnych bazach kodu komercyjnego.

Interweniując u źródła, OpenAI i Trail of Bits próbują załatać podatności w samym fundamencie internetu. Jeśli inicjatywa zakończy się sukcesem, może ona wyznaczyć nowy standard odpowiedzialności firm zajmujących się AI za skutki bezpieczeństwa w ekosystemach oprogramowania, w których funkcjonują i na które mają wpływ.

Kluczowe wnioski

  • Wspólne naprawianie błędów: OpenAI współpracuje z Trail of Bits, aby zapewnić opiekunom projektów open-source bezpośrednie wsparcie inżynieryjne w zakresie bezpieczeństwa, pomagając im w segregacji i naprawianiu błędów.
  • Obrona oparta na AI: Inicjatywa wykorzystuje narzędzia Codex Security od OpenAI do automatyzacji wykrywania podatności, zmieniając AI z potencjalnej broni hakerów w zasób obronny.
  • Łagodzenie ryzyka systemowego: Skupiając się na „fundamencie” open-source, projekt ma na celu zapobieganie masowym atakom na łańcuch dostaw, podobnym do kryzysu związanego z Log4j.