Lideri de opinie

Inițiativa OpenAI Patch the Planet: Securitate bazată pe IA pentru software open-source

mm

OpenAI a lansat recent o inițiativă ambițioasă menită să abordeze una dintre cele mai presante provocări de securitate din lumea digitală: protejarea software-ului open-source care stă la baza tehnologiei moderne.

Inițiativa, numită Patch the Planet și parte a programului Daybreak al OpenAI, are ca scop să ajute dezvoltatorii de software open-source să consolideze software-ul critic prin cercetare de securitate asistată de IA, combinată cu revizuire umană expertă.

Dezvoltatorii sub asediu

Proiectele open-source formează baza industriei software comerciale. Cu toate acestea, această infrastructură partajată se confruntă cu o vulnerabilitate critică: dezvoltatorii care mențin aceste proiecte sunt adesea copleșiți. Mulți dezvoltatori sunt deja solicitați să sorteze rapoarte, mai rapide, cu aceleași resurse limitate.

Peter Steinberger, creatorul OpenClaw și o figură cheie în această inițiativă, a descris povara în un video pe X: “Eram aproape de a șterge totul, pentru că presiunea de a face totul corect este atât de incredibil de mare. Cu aproximativ șase luni în urmă, când OpenCore a început să explodeze, am fost lovit de un număr incredibil de mare de incidente de securitate.”

În ciuda adoptării sale largi și a rolului său critic în tehnologia modernă, mult software open-source este insecur din cauza structurii descentralizate și slab monitorizate a acestei ecologii.

Problema nu este doar volumul, ci și discrepanța dintre resurse și responsabilitate. Așa cum notează Steinberger: “De obicei, aveți unul sau poate doi dezvoltatori open-source și aveți o armată întreagă de oameni care vor rula harness-uri de securitate și vă vor bombarda cu incidente.”

Vulnerabilitatea log4j din 2021 servește ca un reminder puternic despre modul în care o singură eroare în software open-source larg utilizat poate avea un impact asupra întregului peisaj tehnologic, afectând nenumărate aplicații comerciale.

Funcționarea Patch the Planet

În loc să inunde dezvoltatorii cu rapoarte de vulnerabilități, abordarea OpenAI este concepută pentru a reduce povara. Steinberger subliniază de ce acest lucru contează: “Am văzut anul acesta că IA este foarte eficientă în găsirea vulnerabilităților. Dar acest lucru nu este suficient. Trebuie să le și reparăm dacă vrem să facem lumea mai sigură. Acesta este ceea ce facem cu Patch the Planet.”

Inginerii de securitate examinează rezultatele înainte de a le transmite dezvoltatorilor, lucrează cu proiectele pentru a dezvolta patch-uri și teste, și construiesc fluxuri de lucru reutilizabile care ajută echipele să continue îmbunătățirea securității după ce primele corecții sunt aplicate.

Trail of Bits, o firmă specializată de securitate, și-a angajat întreaga organizație de cercetare pentru acest efort. Ei lucrează direct alături de dezvoltatorii de proiecte pentru a investiga problemele, a dezvolta patch-uri și a gestiona divulgarea vulnerabilităților. Colaborarea implică și parteneriate cu HackerOne și Calif pentru activități suplimentare de triaj și descoperire a vulnerabilităților.

În mod critic, abordarea OpenAI se bazează pe relații reale cu comunitatea open-source. Steinberger explică: “Am avut multe relații existente în comunitatea open-source și am câștigat încrederea lor pe parcursul a peste un deceniu de muncă. Din cauza acestui fapt, am putut deschide multe uși.”

Fiecare angajament începe cu consultări între inginerii de securitate și dezvoltatorii de proiecte. Echipa apoi evaluează unde resursele suplimentare de securitate ar fi cele mai valoroase, indiferent dacă este vorba de validarea vulnerabilităților, dezvoltarea de patch-uri sau lucrări de inginerie pe termen lung.

Arsenalul de cercetare bazat pe IA

Ceea ce face Patch the Planet distinctiv este integrarea instrumentelor de IA la fiecare etapă. Cercetătorii de securitate sunt echipați cu modele de frontieră și Codex Security pentru a sprijini analiza, dezvoltarea de patch-uri, testarea și documentația. Proiectele participante primesc, de asemenea, acces la ChatGPT Pro și credite API pentru fluxurile de lucru de dezvoltare și lansare.

Cu toate acestea, valoarea reală se află dincolo de automatizare. Așa cum notează Steinberger: “Mulți oameni pot utiliza acest software pentru a găsi bug-uri, dar valoarea reală se află în judecata rezultatelor și crearea de patch-uri.” Abordarea centrată pe om asigură că rezultatele IA sunt verificate și pot fi puse în aplicare, nu doar voluminoase.

Trail of Bits a utilizat rulări repetate de Codex cu GPT-5.5-Cyber pentru a construi un întreg lab de testare fuzzy care acoperă zeci de puncte de intrare, variante de construcție și platforme în mai puțin de o zi, o muncă care ar fi durat în mod normal câteva săptămâni. Steinberger subliniază impactul asupra productivității: “Codex a permis echipei noastre să lanseze lucruri într-o zi care ar fi durat altfel săptămâni de timp. Pentru un proiect, am construit un întreg lab de testare fuzzy într-o zi.”

La fel, echipa a dezvoltat o conductă care ingerează date istorice CVE și căuta automat vulnerabilități legate în codurile țintă, accelerând substanțial procesul de analiză a variantelor.

Rezultate impresionante de la început

Rezultatele inițiale ale inițiativei subliniază impactul potențial. Trail of Bits a identificat sute de probleme de securitate în 19 proiecte open-source, cu multe altele aflate în proces de divulgare coordonată.

Descoperirile acoperă întregul stiv de software:

Sisteme de operare: GPT-5.5-Cyber a identificat componente relevante pentru securitate în peste 30 de milioane de linii de cod din nucleul Linux.

Infrastructură critică de rețea: Echipa a identificat, de asemenea, “bomba HTTP/2”, o vulnerabilitate de tip denial-of-service care afectează serverele web majore, sugerând că peste 880.000 de site-uri web cu acces la internet rulează software afectat.

Navigatoare: Cercetătorii OpenAI au găsit cinci vulnerabilități exploatabile în Chrome și peste 10 vulnerabilități exploatabile în Safari.

Un pas competitiv și serviciu comunitar

Inițiativa poate fi citită ca un pas competitiv împotriva Anthropic, în timp ce recunoaște că adresează o nevoie pe care comunitatea open-source o necesită cu disperare. OpenAI utilizează capacitățile sale de IA pentru a schimba scenariul securității cibernetice bazate pe IA, în loc de a automatiza atacurile, compania automatează apărarea.

Cu toate acestea, importanța supravegherii umane nu poate fi subliniată suficient. Inginerii Trail of Bits au examinat manual fiecare problemă de securitate înainte de a o trimite dezvoltatorilor, eliminând duplicatele, evaluând gravitatea și prioritizând vulnerabilitățile confirmate pentru remediere. Abordarea “omul în buclă” abordează o eroare critică a sistemelor pur automate: tendința de a copleși dezvoltatorii cu rezultate false pozitive.

Ce urmează

OpenAI s-a angajat să publice rapoarte tehnice mai profunde pe măsură ce divulgările coordonate se încheie, documentând descoperirile individuale, metodele de cercetare și lecțiile pe care alți apărători le pot aplica. Compania acceptă, de asemenea, cereri de la dezvoltatorii de software open-source interesați de a se alătura inițiativei.

Inițiativa se bazează pe principiul că software-ul open-source este o infrastructură partajată, iar securizarea lui ar trebui să fie o muncă partajată. Steinberger concluzionează cu un apel direct la acțiune: “Securizarea software-ului lumii începe cu ajutorarea oamenilor care îl mențin. Dacă împărtășiți această misiune, alăturați-vă nouă.”

Pe măsură ce IA continuă să accelereze descoperirea vulnerabilităților, asigurarea faptului că aceste beneficii ajung la dezvoltatorii și utilizatorii care au nevoie de ele cel mai mult și că oamenii din spatele software-ului sunt sprijiniți și valorizați a devenit o prioritate pentru întregul ecosistem tehnologic.

Juan Pablo Aguirre Osorio este un reporter contributor la Espacio Media Incubator. Cu o background în inginerie full-stack, Juan Pablo aduce o perspectivă tehnică în raportarea sa despre tehnologii de ultimă generație, inclusiv AI. Lucrările sale au fost prezentate în HackerNoon, The Sociable și altele, și a fost anterior Student Ambassador la Microsoft.