OpenAI запускает Patch the Planet для защиты экосистем с открытым исходным кодом

OpenAI официально вступила в борьбу в сфере кибербезопасности, запустив «Patch the Planet» — новую инициативу, направленную на укрепление программного обеспечения с открытым исходным кодом, которое является основой современной цифровой экономики. Сочетая специализированный человеческий опыт с передовыми инструментами ИИ, компания стремится проактивно выявлять и устранять уязвимости до того, как ими смогут воспользоваться злоумышленники.

Стратегическое партнерство с Trail of Bits

Понимая, что мейнтейнеры open-source проектов часто перегружены потоком отчетов об ошибках и ограничены в ресурсах, OpenAI вступает в партнерство с известной охранной компанией Trail of Bits. Это сотрудничество призвано стать своего рода службой «скорой помощи для кода» (code EMT) для сообщества разработчиков.

Вместо того чтобы просто засыпать мейнтейнеров автоматизированными уведомлениями, инженеры по безопасности Trail of Bits будут работать напрямую с руководителями проектов: проверять потенциальные проблемы, проводить сортировку (triage) находок и разрабатывать надежные патчи и тесты. Такой подход с участием человека (human-in-the-loop) гарантирует, что улучшения безопасности будут практически применимы и не увеличат существующую административную нагрузку на децентрализованных мейнтейнеров проектов.

Использование Codex Security для автоматизированной защиты

В основе этой инициативы лежит собственная технология безопасности OpenAI, в частности такие инструменты, как Codex Security. В то время как большая часть недавних дискуссий вокруг больших языковых моделей (LLM) была сосредоточена на их способности автоматизировать киберпреступность, OpenAI пытается изменить правила игры.

Индустрия выразила серьезную обеспокоенность по поводу таких инструментов, как Mythos от Anthropic, которые могут использоваться для поиска багов и создания эксплойтов. Стратегия OpenAI заключается в использовании той же базовой возможности — способности ИИ анализировать и понимать сложные кодовые базы — в качестве защитного щита. Интегрируя Codex Security в рабочий процесс «Patch the Planet», инициатива стремится автоматизировать обнаружение уязвимостей, позволяя инженерам сосредоточиться на высокоуровневом устранении последствий и создании многоразовых рабочих процессов безопасности.

Почему безопасность open-source важна для мировых технологий

Ставки в этой инициативе максимально высоки. Open-source проекты служат цифровым фундаментом почти для всего коммерческого программного обеспечения, однако им часто не хватает централизованного мониторинга, необходимого для поддержания высоких стандартов безопасности. Индустрия до сих пор живо помнит фиаско с Log4j, когда одна уязвимость в широко используемой open-source утилите вызвала масштабный каскадный кризис во всех мировых коммерческих кодовых базах.

Вмешиваясь непосредственно в первоисточник, OpenAI и Trail of Bits пытаются «залатать» уязвимости в самом фундаменте интернета. В случае успеха эта инициатива может установить новый стандарт того, как компании в сфере ИИ берут на себя ответственность за последствия для безопасности программных экосистем, в которых они работают и на которые влияют.

Основные выводы

  • Совместное устранение уязвимостей: OpenAI сотрудничает с Trail of Bits, чтобы предоставить практическую инженерную поддержку по безопасности мейнтейнерам open-source проектов, помогая им проводить сортировку и исправлять баги.
  • Защита на базе ИИ: Инициатива использует инструменты Codex Security от OpenAI для автоматизации обнаружения уязвимостей, превращая ИИ из потенциального оружия хакеров в защитный актив.
  • Снижение системных рисков: Сосредоточившись на «фундаменте» open-source, проект стремится предотвратить крупномасштабные атаки на цепочки поставок, подобные кризису Log4j.