Vordenker
OpenAIs Patch the Planet: KI-gestützte Sicherheit für Open-Source-Software

OpenAI hat kürzlich eine ambitionierte neue Initiative vorgestellt, die eines der dringendsten Sicherheitsprobleme der digitalen Welt angehen soll: den Schutz der Open-Source-Software, die die moderne Technologie untermauert.
Die Initiative, die Patch the Planet heißt und Teil von OpenAIs Daybreak-Programm ist, zielt darauf ab, Open-Source-Maintainer bei der Stärkung kritischer Software durch KI-gestützte Sicherheitsforschung in Kombination mit Experten-Reviews zu unterstützen.
Maintainer unter Beschuss
Open-Source-Projekte bilden die Grundlage der kommerziellen Softwareindustrie. Doch diese gemeinsame Infrastruktur ist anfällig für ein kritischer Schwachpunkt: Die Maintainer, die diese Projekte sichern, sind oft überfordert. Viele Maintainer werden bereits aufgefordert, mehr Berichte zu sichten, schneller und mit den gleichen begrenzten Ressourcen.
Peter Steinberger, Ersteller von OpenClaw und Schlüsselfigur in dieser Initiative, beschrieb die Belastung in einem Video auf X: “Ich war nahe daran, ehrlich gesagt, alles zu löschen, weil der Druck, alles richtig zu machen, so unglaublich hoch ist. Vor etwa sechs Monaten, als OpenCore zu explodieren begann, wurde ich mit einer unglaublich großen Anzahl von Sicherheitsvorfällen konfrontiert.”
Trotz ihrer weiten Verbreitung und kritischen Rolle in der modernen Technologie ist viel Open-Source-Software unsicher aufgrund der dezentralen und schlecht überwachten Struktur dieses Ökosystems.
Das Problem ist nicht nur das Volumen, sondern auch die Fehlanpassung zwischen Ressourcen und Verantwortung. Wie Steinberger bemerkt: “Man hat normalerweise einen oder vielleicht zwei Open-Source-Maintainer und eine ganze Armee von Leuten, die Sicherheitstests durchführen und uns mit Vorfällen bombardieren.”
Die Log4j-Schwachstelle von 2021 dient als ein deutliches Beispiel dafür, wie eine einzelne Schwachstelle in weit verbreiteter Open-Source-Software sich über die gesamte Technologielandschaft ausbreiten und zahlreiche kommerzielle Anwendungen beeinträchtigen kann.
Wie Patch the Planet funktioniert
Anstatt Maintainer einfach mit Schwachstellenberichten zu überfluten, ist OpenAIs Ansatz darauf ausgelegt, die Belastung zu reduzieren. Steinberger betont, warum dies wichtig ist: “Wir haben gesehen, dass KI sehr effektiv darin ist, Schwachstellen zu finden. Aber das reicht nicht aus. Wir müssen sie tatsächlich beheben, wenn wir die Welt sicherer machen wollen. Das ist es, was wir mit Patch the Planet tun.”
Sicherheitsingenieure überprüfen die Ergebnisse, bevor sie die Maintainer erreichen, arbeiten mit Projekten zusammen, um Patches und Tests zu entwickeln, und bauen wiederverwendbare Workflows auf, die Teams dabei helfen, die Sicherheit nach den ersten Korrekturen weiter zu verbessern.
Trail of Bits, ein spezialisiertes Sicherheitsunternehmen, hat sein gesamtes Sicherheitsforschungsteam diesem Bemühen gewidmet. Sie arbeiten direkt mit Projekt-Maintainern zusammen, um Probleme zu untersuchen, Patches zu entwickeln und Schwachstellen offenzulegen. Die Zusammenarbeit umfasst auch Partnerschaften mit HackerOne und Calif für zusätzliche Schwachstellen-Triage- und Entdeckungsarbeiten.
Wesentlich ist, dass OpenAIs Ansatz auf echten Beziehungen mit der Open-Source-Community basiert. Steinberger erklärt: “Wir hatten viele bestehende Beziehungen in der Open-Source-Community und haben über mehr als ein Jahrzehnt hinweg ihr Vertrauen gewonnen. Deshalb konnten wir viele Türen öffnen.”
Jede Beteiligung beginnt mit einer Konsultation zwischen Sicherheitsingenieuren und den Projekt-Maintainern. Das Team bewertet dann, wo zusätzliche Sicherheitsressourcen am wertvollsten wären, ob das die Validierung von Schwachstellen, die Entwicklung von Patches oder langfristige Ingenieursarbeiten ist.
Die KI-gestützte Forschungsarsenal
Was Patch the Planet auszeichnet, ist die Integration von KI-Tooling auf jeder Ebene. Sicherheitsforscher sind mit Frontier-Modellen und Codex Security ausgestattet, um Analysen, Patch-Entwicklung, Tests und Dokumentation zu unterstützen. Teilnehmende Projekte erhalten auch Zugang zu ChatGPT Pro und API-Guthaben für Entwicklungs- und Release-Workflows.
Der wahre Wert liegt jedoch jenseits der Automatisierung. Wie Steinberger bemerkt: “Viele Leute können diese Software verwenden, um Fehler zu finden, aber der wahre Wert liegt in der Beurteilung dieser Ausgabe und der Erstellung von Patches.” Dieser menschenzentrierte Ansatz stellt sicher, dass KI-Ergebnisse überprüft und handhabbar sind, nicht nur umfangreich.
Trail of Bits nutzte wiederholte Codex-Läufe mit GPT-5.5-Cyber, um ein ganzes Fuzzing-Labor zu erstellen, das Dutzende von Einstiegspunkten, Varianten, Builds und Plattformen in weniger als einem Tag abdeckt, Arbeit, die normalerweise mehrere Wochen dauern würde. Steinberger hebt den Produktivitätseffekt hervor: “Codex ermöglichte es unserem Team, Dinge in einem Tag zu liefern, die uns sonst Wochen gekostet hätten. Für ein Projekt bauten wir ein ganzes Fuzzing-Labor in einem Tag.”
Ähnlich entwickelte das Team eine Pipeline, die historische CVE-Daten einliest und automatisch nach verwandten Schwachstellen in Zielcodebasen sucht, wodurch der Variantenanalyseprozess erheblich beschleunigt wird.
Beeindruckende frühe Ergebnisse
Die frühen Ergebnisse der Initiative unterstreichen das Potenzial. Trail of Bits hat Hunderte von Sicherheitsproblemen in 19 Open-Source-Projekten identifiziert, und viele weitere werden derzeit koordiniert offengelegt.
Die Entdeckungen umfassen den gesamten Software-Stack:
Betriebssysteme: GPT-5.5-Cyber identifizierte sicherheitsrelevante Komponenten in mehr als 30 Millionen Zeilen Linux-Kernel-Code.
Kritische Netzwerkinfrastruktur: Das Team identifizierte auch die “HTTP/2-Bombe”, eine Denial-of-Service-Schwachstelle, die große Webserver betrifft, was darauf hindeutet, dass mehr als 880.000 internetfähige Websites betroffene Software ausführen.
Browser: OpenAI-Forscher fanden fünf ausnutzbare Schwachstellen in Chrome und über 10 ausnutzbare Schwachstellen in Safari.
Ein wettbewerbsorientierter Schritt und Community-Service
Die Initiative kann als wettbewerbsorientierter Schritt gegen Anthropic gelesen werden, während sie gleichzeitig anerkennt, dass sie eine Notwendigkeit der Open-Source-Community erfüllt. OpenAI nutzt seine KI-Fähigkeiten, um das Drehbuch für KI-gestützte Cybersicherheit umzukehren, anstatt Angriffe zu automatisieren, automatisiert Verteidigungen zu schaffen.
Jedoch kann die Bedeutung der menschlichen Überwachung nicht überbetont werden. Trail-of-Bits-Ingenieure überprüften jeden Sicherheitsvorfall manuell, bevor sie ihn den Maintainern vorlegten, entfernten Duplikate, bewerteten die Schwere und priorisierten bestätigte Schwachstellen für die Behebung. Dieser menschliche Ansatz in der Schleife behandelt einen kritischen Fehler in rein automatisierten Systemen: die Tendenz, Maintainer mit falschen Positiven zu überfluten.
Was kommt als Nächstes
OpenAI hat sich verpflichtet, tiefergehende technische Berichte zu veröffentlichen, sobald koordinierte Offenlegungen abgeschlossen sind, in denen individuelle Ergebnisse, Forschungsmethoden und Lektionen, die andere Verteidiger anwenden können, dokumentiert werden. Das Unternehmen akzeptiert auch Bewerbungen von Open-Source-Maintainern, die der Initiative beitreten möchten.
Die Initiative basiert auf dem Prinzip, dass Open-Source-Software eine gemeinsame Infrastruktur ist und ihre Sicherung eine gemeinsame Aufgabe sein sollte. Steinberger schließt mit einem direkten Aufruf zur Aktion: “Die Sicherung der Weltsoftware beginnt mit der Unterstützung der Menschen, die sie pflegen. Wenn Sie diese Mission teilen, schließen Sie sich uns an.”
Da KI die Entdeckung von Schwachstellen weiter beschleunigt, ist es für das gesamte Technologie-Ökosystem zu einer Priorität geworden, sicherzustellen, dass diese Vorteile die Maintainer und Nutzer erreichen, die sie am meisten benötigen, und dass die Menschen hinter der Software unterstützt und geschätzt werden.












