قادة الفكر
مبادرة باتش ذا بلانيت من OpenAI: أمان مدعوم بالذكاء الاصطناعي للبرمجيات مفتوحة المصدر

أعلنت OpenAI مؤخرًا عن مبادرة جديدة طموحة مصممة للتصدي لأحد أكبر التحديات الأمنية في العالم الرقمي: حماية البرمجيات مفتوحة المصدر التي تعتمد عليها التكنولوجيا الحديثة.
تتمثل المبادرة، التي تُسمى باتش ذا بلانيت وتنتمي إلى برنامج OpenAI Daybreak، في مساعدة صيانة البرمجيات مفتوحة المصدر لتعزيز البرمجيات الحيوية من خلال بحث أمني مدعوم بالذكاء الاصطناعي مع استعراض بشري خبير.
صيانة تحت الحصار
تُشكل مشاريع البرمجيات مفتوحة المصدر أساسًا لصناعة البرمجيات التجارية. ومع ذلك، فإن هذه البنية المشتركة تواجه ضعفًا حرجًا: الصيانة الذين يضمنون أمان هذه المشاريع غالبًا ما يكونون مشغولين. يتم طلب الصيانة منهم للبحث في المزيد من التقارير، وبسرعة أكبر، مع نفس الموارد والزمن المحدودين.
وصف بيتر شتاينبرجر، مبتكر OpenClaw ومفتاح هذه المبادرة، الضغط في فيديو على X: “كنت على وشك الحصول على كل شيء بصدق لأن الضغط فقط للحصول على ذلك بشكل صحيح هو مرتفع للغاية. فقط قبل ستة أشهر، عندما بدأت OpenCore في الانفجار، تعرضت لعدد كبير من الحوادث الأمنية.”
على الرغم من انتشارها الواسع ودورها الحاسم في التكنولوجيا الحديثة، فإن الكثير من البرمجيات مفتوحة المصدر غير آمنة بسبب البنية اللامركزية والخاضعة للرقابة بشكل سيئ في ذلك النظام البيئي.
الproblem ليس فقط حجمه، بل عدم التوازن بين الموارد والمسؤولية. كما يشير شتاينبرجر: “عادة ما يكون لديك صيانة واحدة أو ربما صيانة مفتوحة المصدر وجماعة من الناس الذين سيقومون بتشغيل حزام الأمان وسيقومون بقصفك بالحوادث.”
تُعتبر ثغرة أمان log4j في عام 2021 تذكيرًا قويًا بكيف يمكن أن تؤدي عيبة واحدة في برمجيات مفتوحة المصدر على نطاق واسع إلى تأثيرات عبر toànة التكنولوجيا، مما يؤثر على تطبيقات تجارية لا حصر لها.
كيف تعمل باتش ذا بلانيت
بدلاً من إغراق الصيانة بالتقارير عن الثغرات الأمنية، فإن نهج OpenAI مصمم لتقليل العبء. يشدد شتاينبرجر على أهمية ذلك: “لقد رأينا هذا العام أن الذكاء الاصطناعي فعال جدًا في العثور على الثغرات الأمنية. لكن ذلك ليس كافياً. نحن بحاجة إلى إصلاحها إذا كنا نريد جعل العالم أكثر أمانًا. هذا ما نقوم به مع باتش ذا بلانيت.”
يتم استعراض النتائج من قبل مهندسي الأمان قبل وصولها إلى الصيانة، ويعملون مع المشاريع لتطوير تصحيحات واختبارات، ويبنيون سير عمل قابلة لإعادة الاستخدام تساعد الفرق على الاستمرار في تحسين الأمان بعد التصحيحات الأولى.
التزمت Trail of Bits، وهي شركة أمنية متخصصة، بكل منظمة أبحاث الأمن لهذه الجهود. يعملون جنبًا إلى جنب مع صيانة المشاريع لتحقيق العيوب، وتطوير التصحيحات، وإدارة الكشف عن الثغرات. وتشمل التعاون أيضًا شراكات مع HackerOne وCalif لمزيد من أعمال التriage واكتشاف الثغرات.
من المهم جدًا أن نهج OpenAI مبني على علاقات حقيقية مع مجتمع البرمجيات مفتوحة المصدر. يشرح شتاينبرجر: “كنا لدينا علاقات كثيرة موجودة في مجتمع البرمجيات مفتوحة المصدر وكنا قد كسبنا ثقتهم على مدار أكثر من عقد من العمل. بسبب ذلك، كنا قادرين على فتح الكثير من الأبواب.”
يتبدأ كل تعاون مع استشارة بين مهندسي الأمان وصيانة المشروع. ثم تقييم الفريق حيث يمكن أن تكون الموارد الأمنية الإضافية أكثر قيمة، سواء كانت ذلك في التحقق من الثغرات أو تطوير التصحيحات أو العمل الهندسي على المدى الطويل.
المنظومة البحثية المدعومة بالذكاء الاصطناعي
ما يجعل باتش ذا بلانيت متميزًا هو دمج أدوات الذكاء الاصطناعي في كل مرحلة. يتم تزويد باحثي الأمان بأدوات متقدمة و Codex Security لدعم التحليل وتطوير التصحيحات واختباراتها وتوثيقها. كما يحصل المشاريع المشاركة على وصول إلى ChatGPT Pro و API credits لعمليات التطوير وإصدار البرمجيات.
然而، القيمة الحقيقية تكمن وراء التأتمت. كما يشير شتاينبرجر: “الكثير من الناس قادرين على استخدام هذا البرنامج لfinding bugs، ولكن القيمة الحقيقية تكمن في الحكم على مخرجات ذلك وإنشاء تصحيحات.” هذا النهج المتمركز حول الإنسان يضمن أن تكون نتائج الذكاء الاصطناعي مدققة وقابلة للتنفيذ، وليس فقط كثيرة.
استخدم Trail of Bits تشغيلات Codex المتكررة مع GPT-5.5-Cyber لبناء مختبر فuzzing يغطي عشرات النقاط الدخول والبناء المتغير والمنصات في أقل من يوم، وهو عمل سيتطلب عادة أسابيع. يبرز شتاينبرجر التأثير على الإنتاجية: “Codex مكن فريقنا من تسليم الأشياء في يوم سيتطلب عادة أسابيع من الوقت. لبرنامج واحد، بنينا مختبر fuzzing في يوم.”
كما طور الفريق трубة تستهلك بيانات CVE التاريخية وتبحث تلقائيًا عن ثغرات متعلقة في قواعد البيانات المستهدفة، مما يسرع بشكل كبير عملية تحليل المتغيرات.
نتائج مبكرة مثيرة
تُبرز نتائج المبادرة المبكرة التأثير المحتمل. لقد حدد Trail of Bits مئات من القضايا الأمنية عبر 19 مشروعًا مفتوح المصدر، مع العديد منها يخضع لتنسيق الكشف.
تتضمن الاكتشافات كافة مكدس البرمجيات:
نظم التشغيل: حدد GPT-5.5-Cyber مكونات أمنية في أكثر من 30 مليون سطر من код نواة لينكس.
البنية التحتية للشبكة الحيوية: كما حدد الفريق “قنبلة HTTP/2″، وهي ثغرة في الخدمة التي تؤثر على خواديم الويب الكبيرة، مما يشير إلى أن أكثر من 880,000 موقعًا على الإنترنت كانوا يعملون على برنامج متأثر.
المتصفحات: وجد باحثو OpenAI خمس ثغرات قابلة للاستغلال في Chrome وأكثر من 10 ثغرات قابلة للاستغلال في Safari.
خطوة تنافسية وخدمة المجتمع
يمكن قراءة المبادرة على أنها خطوة تنافسية ضد Anthropic، مع الاعتراف بأنها تلبية لحاجة يحتاجها مجتمع البرمجيات مفتوحة المصدر بشكل حرج. تستخدم OpenAI قدرات الذكاء الاصطناعي لقلب السيناريو على أمن السيبراني مدعوم بالذكاء الاصطناعي، بدلاً من تلقين الهجمات، تعمل الشركة على تلقين الدفاعات.
然而، لا يمكن التأكيد على أهمية الرقابة البشرية. قام مهندسو Trail of Bits بمراجعة كل قضية أمنية يدويًا قبل تقديمها إلى الصيانة، بإزالة المكررات، وتقييم الخطورة، وترتيب الأولوية للثغرات المؤكدة للإصلاح. هذا النهج القائم على الإنسان في الحلقة يعالج عيبًا حرجًا في الأنظمة التلقائية الخالصة:倾向 إلى إغراق الصيانة بالنتائج الإيجابية الكاذبة.
ما يأتي بعد ذلك
التزمت OpenAI بنشر تقارير تقنية أعمق مع انتهاء الكشف المنسق، وثائق الاكتشافات الفردية وطرق البحث والدروس التي يمكن أن يطبقها المدافعون الآخرون. كما تقبل الشركة طلبات من صيانة البرمجيات مفتوحة المصدر المهتمة بالانضمام إلى المبادرة.
تُبنى المبادرة على مبدأ أن البرمجيات مفتوحة المصدر هي بنية تحتية مشتركة، وينبغي أن يكون تأمينها عملًا مشتركًا. يختتم شتاينبرجر بدعوة مباشرة للعمل: “يبدأ تأمين برمجيات العالم بمساعدة الأشخاص الذين يضمنونها. إذا كنت تشاطر هذه المهمة، انضم إلينا.”
مع استمرار الذكاء الاصطناعي في تسريع اكتشاف الثغرات الأمنية، أصبحت ضمان وصول هذه الفوائد إلى الصيانة والمستخدمين الذين يحتاجون إليها أكثر، وأنه يتم دعم الأشخاص وراء البرمجيات وتقييمهم، أولوية للنظام البيئي التكنولوجي ككل.












