Myslitelé

Otevřená iniciativa Patch the Planet: AI-Powered bezpečnost pro open-source software

mm

Společnost OpenAI nedávno představila ambiciózní novou iniciativu, jejímž cílem je řešit jednu z nejpalčivějších bezpečnostních výzev digitálního světa: ochranu open-source softwaru, který tvoří základ moderní technologie.

Iniciativa, nazvaná Patch the Planet a součást programu Daybreak, má za cíl pomoci open-source vývojářům posílit kritický software pomocí AI-podporovaného bezpečnostního výzkumu v kombinaci s odbornou lidskou kontrolou.

Vývojáři pod tlakem

Open-source projekty tvoří základ komerčního softwarového průmyslu. Avšak tato sdílená infrastruktura čelí kritické zranitelnosti: vývojáři, kteří zajišťují bezpečnost těchto projektů, jsou často přetížení. Mnozí vývojáři jsou již nyní žádáni, aby procházeli více zpráv, rychleji, se stejnými omezenými zdroji a časem.

Peter Steinberger, tvůrce OpenClaw a klíčová osobnost této iniciativy, popsal tlak v videu na X: “Byl jsem blízko k tomu, abych gerçekten smazal všechno, protože tlak na to, aby vše bylo správně, je tak strašně vysoký. Před asi šesti měsíci, když OpenCore začal explodovat, dostal jsem obrovské množství bezpečnostních incidentů.”

Navzdory širokému použití a kritické roli v moderní technologii je mnoho open-source softwaru nezabezpečené kvůli decentralizované a špatně monitorované struktuře tohoto ekosystému.

Problém není jen objem, ale nesoulad mezi zdroji a odpovědností. Jak Steinberger poznamenává: “Obvykle máte jeden nebo možná dva open-source vývojáře a máte celou armádu lidí, kteří budou spouštět bezpečnostní testy a budete bombardováni incidenty.”

Zranitelnost log4j z roku 2021 je příkladem toho, jak jediná slabina v široce používaném open-source softwaru může mít dopad na celý technologický krajinný rámec, ovlivňující nespočet komerčních aplikací.

Jak Patch the Planet funguje

Místo toho, aby vývojářům pouze posílali zprávy o zranitelnostech, přístup OpenAI je navržen tak, aby snížil zátěž. Steinberger zdůrazňuje, proč je to důležité: “Letos jsme viděli, že AI je velmi efektivní při hledání zranitelností. Ale to nestačí. Musíme je skutečně opravit, pokud chceme učinit svět bezpečnějším. To je to, co děláme s Patch the Planet.”

Bezpečnostní inženýři kontrolují výsledky předtím, než se dostanou k vývojářům, pracují s projekty na vývoji oprav a testů a vytvářejí opakovaně použitelné pracovní postupy, které pomáhají týmům pokračovat v zlepšování bezpečnosti po aplikaci prvních oprav.

Trail of Bits, specializovaná bezpečnostní firma, se zavázala k tomuto úsilí celou svou bezpečnostní výzkumnou organizací. Pracují přímo s vývojáři projektů, aby prošetřili problémy, vyvinuli opravy a spravovali zveřejňování zranitelností. Spolupráce také zahrnuje partnerství s HackerOne a Calif pro další triáž a objev zranitelností.

Kriticky, přístup OpenAI je založen na skutečných vztazích s open-source komunitou. Steinberger vysvětluje: “Měli jsme mnoho stávajících vztahů v open-source komunitě a získali jsme jejich důvěru po více než deset let práce. Díky tomu jsme mohli otevřít mnoho dveří.”

Každé zapojení začíná konzultacemi mezi bezpečnostními inženýry a vývojáři projektů. Tým poté hodnotí, kde by další bezpečnostní zdroje byly nejvíce cenné, zda jde o ověření zranitelností, vývoj oprav nebo dlouhodobou inženýrskou práci.

AI-Powered výzkumná arzenál

To, co dělá Patch the Planet výjimečným, je jeho integrace AI nástrojů na každé úrovni. Bezpečnostní výzkumníci jsou vybaveni předními modely a Codex Security pro podporu analýzy, vývoje oprav, testování a dokumentace. Účastnící se projekty také získávají přístup k ChatGPT Pro a API kredity pro vývoj a uvolňování pracovních postupů.

Avšak skutečná hodnota leží za hranicemi automatizace. Jak Steinberger poznamenává: “Mnoho lidí je schopno použít tento software k nalezení chyb, ale skutečná hodnota spočívá v posouzení výstupu a tvorbě oprav.” Tento lidský přístup zajišťuje, že AI nálezy jsou ověřeny a proveditelné, ne pouze objemné.

Trail of Bits použil opakované běhy Codex s GPT-5.5-Cyber, aby vytvořil celý fuzzing lab pokrývající desítky vstupních bodů, variantních sestav a platforem za méně než den, práci, která by jinak trvala několik týdnů. Steinberger zdůrazňuje dopad na produktivitu: “Codex umožnil našemu týmu dodávat věci za den, které by jinak trvaly týdny. Pro jeden projekt jsme vytvořili celý fuzzing lab za den.”

Podobně, tým vyvinul pipeline, který přijímá historická CVE data a automaticky vyhledává související zranitelnosti v cílových kódech, podstatně urychlující proces variantní analýzy.

Impozantní rané výsledky

Rané nálezy iniciativy podtrhují potenciální dopad. Trail of Bits identifikoval stovky bezpečnostních problémů napříč 19 open-source projekty, s mnoha dalšími, které procházejí koordinovaným zveřejňováním.

Objevy pokrývají celý software stack:

Operační systémy: GPT-5.5-Cyber identifikoval bezpečnostně relevantní komponenty v více než 30 milionech řádků kódu Linuxového jádra.

Kritická síťová infrastruktura: Tým také identifikoval “HTTP/2 Bomb”, zranitelnost typu denial-of-service, která postihuje hlavní webové servery, naznačující, že více než 880 000 internetových serverů běží postižený software.

Prohlížeče: Výzkumníci OpenAI našli pět využitelných zranitelností v Chrome a více než 10 využitelných zranitelností v Safari.

Konkurenční krok a komunitní služba

Iniciativa může být čtena jako konkurenční krok proti Anthropic, zatímco také uznává, že řeší potřebu, kterou open-source komunita zoufale potřebuje. OpenAI využívá své AI schopnosti k otočení scénáře AI-podporované kybernetické bezpečnosti, místo automatizace útoků, společnost automatizuje obranu.

Avšak důležitost lidského dohledu nelze dostatečně zdůraznit. Inženýři Trail of Bits ručně prošli každou bezpečnostní otázku před jejím odesláním vývojářům, odstranili duplikáty, zhodnotili závažnost a priorizovali potvrzené zranitelnosti pro nápravu. Tento lidský přístup řeší kritickou chybu v čistě automatizovaných systémech: tendenci zahlcovat vývojáře falešnými pozitivy.

Co přijde dál

OpenAI se zavázala k publikování hlubších technických zpráv, jakmile budou dokončena koordinovaná zveřejňování, dokumentující jednotlivé nálezy, výzkumné metody a lekce, které mohou ostatní obránci uplatnit. Společnost také přijímá žádosti od open-source vývojářů, kteří se chtějí připojit k iniciativě.

Iniciativa je založena na principu, že open-source software je sdílenou infrastrukturou, a jeho zabezpečení by mělo být sdílenou prací. Steinberger uzavírá přímým apelem: “Zabezpečení světového softwaru začíná pomoci lidem, kteří ho udržují. Pokud sdílíte tuto misi, připojte se k nám.”

Jak AI pokračuje v urychlování objevu zranitelností, zajištění toho, aby tyto výhody dosáhly vývojářů a uživatelů, kteří je nejvíce potřebují, a aby lidé za softwarem byli podporováni a oceněni, se stalo prioritou pro celý technologický ekosystém.

Juan Pablo Aguirre Osorio je přispívající reportér pro Espacio Media Incubator. S pozadím v full-stack inženýrství přináší Juan Pablo technické znalosti do své reportáže o nejnovějších technologiích, včetně AI. Jeho práce byla uvedena v HackerNoon, The Sociable a dalších, a dříve byl Student Ambassador u Microsoft.