OpenAI запускає Patch the Planet для захисту екосистем із відкритим кодом

OpenAI офіційно вступила в боротьбу в сфері кібербезпеки, запустивши "Patch the Planet" — нову ініціативу, спрямовану на зміцнення програмного забезпечення з відкритим кодом, яке є основою сучасної цифрової економіки. Поєднуючи спеціалізований людський досвід із передовими інструментами ШІ, компанія прагне проактивно виявляти та усувати вразливості до того, як ними зможуть скористатися зловмисники.

Стратегічне партнерство з Trail of Bits

Розуміючи, що розробники (maintainers) проєктів із відкритим кодом часто перевантажені потоком звітів про помилки та обмеженими ресурсами, OpenAI об'єднує зусилля з відомою компанією з безпеки Trail of Bits. Ця співпраця покликана стати послугою «кодового екстреного медичного обслуговування» (code EMT) для спільноти розробників.

Замість того, щоб просто засипати розробників автоматизованими сповіщеннями, інженери з безпеки Trail of Bits працюватимуть безпосередньо з керівниками проєктів, щоб переглядати потенційні проблеми, класифікувати знайдені вразливості (triage) та розробляти надійні патчі й тести. Такий підхід із залученням людини (human-in-the-loop) гарантує, що покращення безпеки будуть практичними та не створюватимуть додаткового адміністративного навантаження на децентралізованих розробників проєктів.

Використання Codex Security для автоматизованого захисту

В основі цієї ініціативи лежить власна технологія безпеки OpenAI, зокрема такі інструменти, як Codex Security. Хоча більша частина нещодавніх дискусій навколо великих мовних моделей (LLM) була зосереджена на їхній здатності автоматизувати кіберзлочинність, OpenAI намагається змінити правила гри.

Індустрія висловила значну стурбованість щодо таких інструментів, як Mythos від Anthropic, які можуть використовуватися для пошуку помилок і створення експлойтів. Стратегія OpenAI полягає в тому, щоб використати ту саму базову можливість — здатність ШІ аналізувати та розуміти складні кодові бази — як захисний щит. Інтегруючи Codex Security у робочий процес "Patch the Planet", ініціатива має на меті автоматизувати виявлення вразливостей, дозволяючи інженерам зосередитися на високорівневому усуненні загроз та створенні багаторазових робочих процесів безпеки.

Чому безпека відкритого коду важлива для світових технологій

Ставки в цій ініціативі не можуть бути вищими. Проєкти з відкритим кодом слугують цифровим фундаментом майже для всього комерційного програмного забезпечення, проте їм часто бракує централізованого моніторингу, необхідного для підтримки високих стандартів безпеки. Індустрія досі яскраво пам'ятає катастрофу з Log4j, коли одна вразливість у широко використовуваній утиліті з відкритим кодом спричинила масову каскадну кризу в глобальних комерційних кодових базах.

Втручаючись безпосередньо в першоджерело, OpenAI та Trail of Bits намагаються усунути вразливості в самому фундаменті інтернету. У разі успіху ця ініціатива може встановити новий стандарт того, як компанії у сфері ШІ беруть на себе відповідальність за наслідки для безпеки програмних екосистем, у яких вони працюють і на які впливають.

Основні висновки

  • Спільне усунення загроз: OpenAI співпрацює з Trail of Bits, щоб надати практичну інженерну підтримку безпеки розробникам проєктів із відкритим кодом, допомагаючи їм класифікувати та виправляти помилки.
  • Захист на основі ШІ: Ініціатива використовує інструменти Codex Security від OpenAI для автоматизації виявлення вразливостей, перетворюючи ШІ з потенційної зброї хакерів на оборонний актив.
  • Мінімізація системних ризиків: Зосереджуючись на «фундаменті» відкритого коду, проєкт має на меті запобігти масштабним атакам на ланцюжки постачання, подібним до кризи Log4j.