ソートリーダー
オープンAIのPatch the Planet:オープンソースソフトウェアのAIパワードセキュリティ

オープンAIは、デジタル世界で最も重要なセキュリティ課題の1つであるオープンソースソフトウェアの保護に取り組む、野心的な新しいイニシアチブを発表しました。
このイニシアチブは、Patch the Planetと呼ばれ、オープンAIのDaybreakプログラムの一部です。オープンソースメンテナーがAI支援のセキュリティ研究と専門家の人間によるレビューを組み合わせて、重要なソフトウェアを強化することを目的としています。
メンテナーは包囲下にある
オープンソースプロジェクトは、商用ソフトウェア業界の基盤を形成しています。しかし、この共有インフラストラクチャには、重大な脆弱性があります。メンテナーは、すでに報告を整理し、同じ時間とリソースで迅速に処理するように求められています。
OpenClawの創設者であり、このイニシアチブの重要人物であるPeter Steinbergerは、Xのビデオで、次のように述べています。 “私は本当にすべてを削除することを検討しました。なぜなら、正確性を保つためのプレッシャーが非常に高いからです。約6ヶ月前、OpenCoreが急成長し始めたとき、私は多数のセキュリティインシデントに直面しました。”
広く採用され、現代テクノロジーで重要な役割を果たしているにもかかわらず、多くのオープンソースソフトウェアは、分散型で監視が不十分なエコシステム構造のため、セキュリティが脆弱です。
問題は、報告の量だけではなく、リソースと責任の不一致にもあります。Steinbergerは次のように述べています。 “通常、1人または2人のオープンソースメンテナーがいて、セキュリティハーネスを実行する人々の軍隊がいて、インシデントで爆撃しています。”
2021年のlog4j脆弱性は、広く使用されているオープンソースソフトウェアの1つの欠陥が、テクノロジー全体に波及する可能性を示す、鮮明な例です。
Patch the Planetの仕組み
オープンAIのアプローチは、メンテナーに脆弱性報告を氾濫させるのではなく、負担を軽減することを目的としています。Steinbergerは、次のように述べています。 “私たちは、AIが脆弱性を発見するのに非常に効果的であることを見てきました。しかし、それだけでは不十分です。私たちはそれらを修正する必要があります。そうすれば、世界をより安全な場所にすることができます。私たちは、Patch the Planetでそれを行っています。”
セキュリティエンジニアは、メンテナーに到達する前に、発見をレビューし、プロジェクトと協力してパッチとテストを開発し、チームが最初の修正を適用した後もセキュリティを改善するための再利用可能なワークフローを構築します。
Trail of Bitsは、専門のセキュリティ会社であり、この取り組みに全てのセキュリティ研究組織を捧げています。彼らは、プロジェクトメンテナーと直接協力して、問題を調査し、パッチを開発し、脆弱性の開示を管理します。このコラボレーションには、HackerOneとCalifも参加し、追加の脆弱性トリアージと発見の作業を行っています。
重要な点は、オープンAIのアプローチは、オープンソースコミュニティとの真正な関係に基づいていることです。Steinbergerは次のように述べています。 “私たちは、オープンソースコミュニティとの既存の関係を多く持っており、10年以上の仕事で信頼を得てきました。したがって、多くのドアを開くことができました。”
各エンゲージメントは、セキュリティエンジニアとプロジェクトメンテナーの間のコンサルテーションから始まります。チームは、追加のセキュリティリソースが最も貴重である場所を評価し、脆弱性の検証、パッチの開発、または長期的なエンジニアリング作業のいずれかになります。
AIパワードリサーチアーセナル
Patch the Planetを特徴付けるのは、すべての段階でAIツールを統合していることです。セキュリティリサーチャーは、分析、パッチの開発、テスト、ドキュメント化をサポートするための最先端のモデルとCodex Securityを使用します。参加プロジェクトは、開発とリリースワークフローに使用するために、ChatGPT ProとAPIクレジットも受け取ります。
しかし、真の価値は、自動化の範囲を超えています。Steinbergerは次のように述べています。 “多くの人がこのソフトウェアを使用してバグを見つけることができますが、本当の価値は、その出力の判断とパッチの作成にあります。” この人間中心のアプローチにより、AIの発見が検証され、実行可能なものになります。
Trail of Bitsは、GPT-5.5-Cyberを使用して、数十のエントリポイント、バリアントビルド、プラットフォームをカバーする、フッキングラボを1日で構築しました。これは、通常、数週間かかる作業です。Steinbergerは、生産性への影響を強調しています。 “Codexにより、私たちのチームは、通常数週間かかる作業を1日で完了することができました。1つのプロジェクトでは、1日でフッキングラボを構築しました。”
同様に、チームは、歴史的なCVEデータをインポートし、ターゲットコードベースで関連する脆弱性を自動的に検索するパイプラインを開発しました。これにより、バリアント分析プロセスが大幅に加速されます。
初期の印象的な結果
イニシアチブの初期の発見は、潜在的な影響を強調しています。Trail of Bitsは、19のオープンソースプロジェクトで数百のセキュリティ問題を特定しており、多くのものが調整された開示を経ています。
発見は、ソフトウェアスタック全体にわたります。
オペレーティングシステム: GPT-5.5-Cyberは、Linuxカーネルコードの30万行以上でセキュリティ関連コンポーネントを特定しました。
重要なネットワークインフラストラクチャ: チームはまた、主要なWebサーバーに影響を与える、サービス拒否の脆弱性である”HTTP/2ボム”を特定しました。これは、インターネットに接続された88万以上のWebサイトが影響を受けるソフトウェアを実行していたことを示唆しています。
ブラウザ: オープンAIのリサーチャーは、Chromeで5つの利用可能な脆弱性とSafariで10以上の利用可能な脆弱性を見つけました。
競争上の動きとコミュニティサービス
このイニシアチブは、Anthropicに対する競争上の動きと同時に、オープンソースコミュニティが切実に必要としているニーズにも対応しています。オープンAIは、AIの能力を利用して、AI駆動のサイバーセキュリティの脚本を逆転させています。攻撃を自動化するのではなく、防御を自動化しています。
しかし、人間の監視の重要性は強調されるべきです。Trail of Bitsのエンジニアは、メンテナーに提出する前に、すべてのセキュリティ問題を手動でレビューしました。重複を削除し、重大性を評価し、修正のために確認された脆弱性を優先しました。この人間が関与するアプローチは、完全に自動化されたシステムの重大な欠陥、つまりメンテナーを誤った陽性で圧倒する傾向に対処しています。
次に何が起こるか
オープンAIは、調整された開示が完了すると、より深い技術レポートを公開することに取り組んでいます。これには、個々の発見、研究方法、他の防御者が適用できる教訓が含まれます。会社はまた、イニシアチブに参加したいオープンソースメンテナーからの申し込みを受け付けています。
このイニシアチブは、オープンソースソフトウェアは共有インフラストラクチャであるという原則に基づいています。したがって、それを保護することは、共有された作業であるべきです。Steinbergerは、次のように結論付けています。 “世界のソフトウェアを保護することは、
それを維持する












