OpenAI 推出 Patch the Planet,旨在保障开源生态系统安全

OpenAI 正式通过推出“Patch the Planet”计划进入网络安全领域。这是一项旨在加强驱动现代数字经济的开源软件安全性的新倡议。通过将专业的人类专家经验与先进的 AI 工具相结合,该公司力求在恶意行为者利用漏洞之前,主动识别并修复这些漏洞。

与 Trail of Bits 的战略合作伙伴关系

OpenAI 意识到开源维护者往往面临着海量的错误报告和有限的资源,因此正与知名安全公司 Trail of Bits 展开合作。此次协作旨在为开发者社区提供一种“代码急救员 (code EMT)”式的服务。

Trail of Bits 的安全工程师不会简单地向维护者发送大量的自动化警报,而是会直接与项目负责人合作,审查潜在问题、对发现的结果进行分类处理,并开发稳健的补丁和测试。这种“人机协同 (human-in-the-loop)”的方法确保了安全改进是可操作的,且不会增加去中心化项目维护者现有的行政负担。

利用 Codex Security 实现自动化防御

该倡议的核心是 OpenAI 的专利安全技术,特别是像 Codex Security 这样的工具。虽然近期关于大语言模型 (LLM) 的讨论大多集中在它们自动化网络犯罪的能力上,但 OpenAI 正试图扭转这一局面。

业界对 Anthropic 的 Mythos 等工具表示了极大担忧,因为这些工具可被用于识别漏洞并生成漏洞利用 (exploits)。OpenAI 的策略是利用同样的基础能力——即 AI 解析和理解复杂代码库的能力——来充当防御盾牌。通过将 Codex Security 集成到“Patch the Planet”的工作流中,该倡议旨在实现漏洞检测的自动化,从而让工程师能够专注于高层级的修复工作以及可复用安全工作流的创建。

为什么开源安全对全球科技至关重要

该倡议的重要性不言而喻。开源项目是几乎所有商业软件的数字基石,但它们往往缺乏维持高安全标准所需的集中式监控。业界仍对 Log4j 事件记忆犹新,当时一个广泛使用的开源工具中的单一漏洞,在全球商业代码库中引发了大规模的连锁危机。

通过从源头进行干预,OpenAI 和 Trail of Bits 正试图修复互联网本身基础架构中的漏洞。如果取得成功,这一倡议可能会为 AI 公司如何为其所处及影响的软件生态系统的安全影响承担责任,树立新的标准。

核心要点

  • 协作修复: OpenAI 正与 Trail of Bits 合作,为开源维护者提供实战性的安全工程支持,帮助他们对漏洞进行分类并修复。
  • AI 驱动防御: 该倡议利用 OpenAI 的 Codex Security 工具来实现漏洞识别的自动化,将 AI 从黑客潜在的武器转变为防御资产。
  • 缓解系统性风险: 通过专注于开源“基石”,该项目旨在防止类似于 Log4j 危机的大规模供应链攻击。