Tankeledere

OpenAIs Patch the Planet: AI-drevet sikkerhed til open-source software

mm

OpenAI har nylig annonceret en ambitiøs ny initiativ, der er designet til at løse en af de digitale verdens mest presserende sikkerhedsudfordringer: beskyttelse af den open-source software, der danner grundlag for moderne teknologi.

Initiativet, der hedder Patch the Planet og er en del af OpenAIs Daybreak-program, har til formål at hjælpe open-source-maintainers med at styrke kritisk software gennem AI-understøttet sikkerhedsforskning kombineret med ekspert-menneskelig gennemgang.

Maintainers Under Siege

Open-source-projekter danner grundlag for den kommercielle softwareindustri. Alligevel står denne fælles infrastruktur over for en kritisk sårbarhed: maintainere, der sikrer disse projekter, er ofte overbelastede. Mange maintainere bliver allerede bedt om at sortere gennem flere rapporter, mere hurtigt, med de samme begrænsede ressourcer.

Peter Steinberger, OpenClaw-skaber og en nøglefigur i dette initiativ, beskrev byrden i video på X: “Jeg var tæt på at slette alt, fordi presset bare på at gøre det rigtigt er så utrolig højt. For blot seks måneder siden, da OpenCore begyndte at eksplodere, fik jeg en utrolig stor mængde sikkerhedsincidenser.”

Trods sin vidt udbredte anvendelse og kritiske rolle i moderne teknologi er meget af den open-source software usikker på grund af den decentrale og dårligt overvågede struktur i denne økosystem.

Problemet er ikke kun volumen, men også misforholdet mellem ressourcer og ansvar. Som Steinberger bemærker: “Som regel har du kun en eller to open-source-maintainers, og du har en hel hær af mennesker, der kører sikkerhedstest og bare bomber dig med inciderter.”

Den log4j-sårbarhed i 2021 fungerer som en påmindelse om, hvordan en enkelt svaghed i vidt anvendt open-source software kan have en kaskadevirkning på hele teknologilandskabet, og påvirke utallige kommercielle applikationer.

How Patch the Planet Works

I stedet for bare at oversvømme maintainere med sårbarhedsrapporter er OpenAIs tilgang designet til at reducere byrden. Steinberger understreger, hvorfor det er vigtigt: “Vi har set i år, at AI er meget effektiv til at finde sårbarheder. Men det er ikke nok. Vi må faktisk fikse dem, hvis vi skal gøre verden mere sikker. Det er, hvad vi gør med Patch the Planet.”

Sikkerhedsingeniører gennemgår fundene, før de når maintainere, arbejder med projekter for at udvikle patches og tests, og bygger genbrugelige arbejdsgange, der hjælper hold med at forbedre sikkerheden efter de første rettelser.

Trail of Bits, et specialiseret sikkerhedsfirma, har tilknyttet hele deres sikkerhedsforskningsorganisation til dette initiativ. De arbejder direkte sammen med projektmaintainere for at undersøge problemer, udvikle patches og håndtere sårbarhedsafsløring. Samarbejdet omfatter også partnerskaber med HackerOne og Calif for yderligere sårbarhedstriage og opdagelsesarbejde.

Kritisk set er OpenAIs tilgang bygget på ægte forhold til open-source-fællesskabet. Steinberger forklarer: “Vi havde mange eksisterende forhold i open-source-fællesskabet og havde opbygget deres tillid over mere end et årti. Fordi vi havde det, kunne vi åbne mange døre.”

Hver engagement begynder med konsultation mellem sikkerhedsingeniører og projektmaintainere. Holdet vurderer derefter, hvor yderligere sikkerhedsressourcer ville være mest værdifulde, enten det er sårbarhedsvalidering, patchudvikling eller længerevarende ingeniørarbejde.

The AI-Powered Research Arsenal

Det, der gør Patch the Planet særligt, er integrationen af AI-værktøjer på alle stadier. Sikkerhedsforskere er udstyret med front-værktøjer og Codex Security til at understøtte analyse, patchudvikling, test og dokumentation. Deltagende projekter modtager også adgang til ChatGPT Pro og API-kreditter til udviklings- og udgivelsesarbejdsgange.

Men den virkelige værdi ligger ud over automatisering. Som Steinberger bemærker: “Mange mennesker kan bruge denne software til at finde fejl, men den virkelige værdi ligger i vurderingen af denne output og skabelsen af patches.” Denne menneskecentrerede tilgang sikrer, at AI-fund er gennemgået og kan bruges, ikke kun volumiøse.

Trail of Bits brugte gentagne Codex-kørsler med GPT-5.5-Cyber til at bygge en hel fuzzing-laboratorium, der dækker dusinvis af indgangspunkter, variantbygninger og platforme på under en dag, et arbejde, der ellers ville tage flere uger. Steinberger fremhæver produktivitetsvirkningen: “Codex gjorde det muligt for vores hold at levere ting på en dag, som ellers ville have taget os uger at gøre. For et projekt byggede vi et helt fuzzing-laboratorium på en dag.”

På samme måde udviklede holdet en pipeline, der indtager historisk CVE-data og automatisk søger efter relaterede sårbarheder i målkodebaser, hvilket væsentligt accelererer variantanalyseprocessen.

Impressive Early Results

Initiativets tidlige resultater understreger potentialet. Trail of Bits har identificeret hundredvis af sikkerhedsproblemer i 19 open-source-projekter, og mange flere er under koordineret afsløring.

Opdagelserne dækker hele softwarestakken:

Operativsystemer: GPT-5.5-Cyber identificerede sikkerhedsrelevante komponenter i mere end 30 millioner linjer Linux-kernelkode.

Kritisk netværksinfrastruktur: Holdet identificerede også “HTTP/2 Bomben”, en afvisning af tjenesten-sårbarhed, der påvirker store webservere, hvilket antyder, at mere end 880.000 internet-tilgængelige websteder kørte påvirkede software.

Webbrowser: OpenAI-forskere fandt fem udnyttelige sårbarheder i Chrome og over 10 udnyttelige sårbarheder i Safari.

A Competitive Move and Community Service

Initiativet kan læses som en konkurrencemæssig bevægelse mod Anthropic, mens det også erkender, at det løser et behov, som open-source-fællesskabet desperat behøver. OpenAI udnytter deres AI-kapaciteter til at ændre skriptet på AI-dreven sikkerhed, i stedet for at automatisere angreb, automatiserer virksomheden forsvar.

Men vigtigheden af menneskelig gennemgang kan ikke overvurderes. Trail of Bits-ingeniører gennemgik manuelt hver sikkerhedsproblematik, før de blev sendt til maintainere, fjernede duplikater, vurderede alvorlighed og prioriterede bekræftede sårbarheder til afhjælpning. Denne menneske-i-løkken-tilgang løser en kritisk fejl i ren automatiserede systemer: tendensen til at overvælde maintainere med falske positiver.

What Comes Next

OpenAI har forpligtet sig til at offentliggøre dybere tekniske rapporter, når koordinerede afsløringer afsluttes, og dokumentere enkeltfund, forskningsmetoder og lære, som andre forsvarere kan anvende. Virksomheden modtager også ansøgninger fra open-source-maintainere, der er interesseret i at deltage i initiativet.

Initiativet er bygget på principperne om, at open-source software er fælles infrastruktur, og at sikring af den bør være fælles arbejde. Steinberger afslutter med en direkte opfordring: “At sikre verdens software starter med at hjælpe de mennesker, der vedligeholder den. Hvis du deler denne mission, så join os.”

Da AI fortsat accelererer opdagelsen af sårbarheder, er det blevet en prioritet for hele teknologilandskabet at sikre, at disse fordele når maintainere og brugere, der har brug for dem mest, og at menneskene bag softwaren bliver støttet og værdsat.

Juan Pablo Aguirre Osorio er en bidragende reporter til Espacio Media Incubator. Med en baggrund i full-stack engineering, bringer Juan Pablo en teknisk baggrund til sin rapportering om cutting-edge teknologier, herunder AI. Hans arbejde er blevet præsenteret i HackerNoon, The Sociable og andre, og han var tidligere en Student Ambassador hos Microsoft.