ผู้นำทางความคิด

โอเพ่นเอไอ ปैचเดอะแพลเน็ต: ความมั่นคงด้านความปลอดภัยที่ขับเคลื่อนด้วย AI สำหรับซอฟต์แวร์โอเพ่นซอร์ส

mm

โอเพ่นเอไอ ได้เปิดตัวโครงการใหม่ที่มีความทะเยอทะยาน โดยมีเป้าหมายเพื่อแก้ไขความท้าทายด้านความปลอดภัยที่สำคัญที่สุดของโลกดิจิทัล: การปกป้องซอฟต์แวร์โอเพ่นซอร์สที่เป็นพื้นฐานของเทคโนโลยีสมัยใหม่

โครงการนี้เรียกว่า Patch the Planet และเป็นส่วนหนึ่งของโปรแกรม Daybreak ของ OpenAI โดยมีเป้าหมายเพื่อช่วยให้ผู้ดูแลซอฟต์แวร์โอเพ่นซอร์สเสริมสร้างซอฟต์แวร์ที่สำคัญผ่านการวิจัยด้านความปลอดภัยที่ได้รับการสนับสนุนจาก AI และการตรวจสอบโดยผู้เชี่ยวชาญ

ผู้ดูแลภายใต้การล้อม围

โครงการโอเพ่นซอร์สเป็นพื้นฐานของอุตสาหกรรมซอฟต์แวร์เชิงพาณิชย์ แต่โครงสร้างพื้นฐานที่ใช้ร่วมกันนี้ต้องเผชิญกับความอ่อนไหวที่สำคัญ: ผู้ดูแลที่รักษาความปลอดภัยของโครงการเหล่านี้มักจะถูกขอให้พิจารณารายงานที่เพิ่มขึ้นเรื่อยๆ โดยใช้เวลาและทรัพยากรที่จำกัด

Peter Steinberger ผู้สร้าง OpenClaw และเป็นบุคคลสำคัญในโครงการนี้ ได้อธิบายถึงผลกระทบใน วิดีโอ บน X: “ฉันใกล้จะลบทุกอย่างแล้วเพราะความกดดันในการทำสิ่งนี้ให้ถูกต้องนั้นมากเกินไป เมื่อประมาณหกเดือนที่แล้ว เมื่อ OpenCore เริ่มระเบิด ฉันถูกโจมตีด้วยจำนวนการโจมตีด้านความปลอดภัยที่น่ากลัว”

尽管ซอฟต์แวร์โอเพ่นซอร์สได้รับการนำไปใช้กันอย่างกว้างขวางและบทบาทที่สำคัญในเทคโนโลยีสมัยใหม่ แต่ซอฟต์แวร์โอเพ่นซอร์สส่วนใหญ่ยังไม่มีความปลอดภัยเนื่องจากโครงสร้างที่กระจายและไม่ได้รับการตรวจสอบอย่างดี

ปัญหาไม่ใช่แค่ปริมาณ แต่เป็นความไม่สมดุลระหว่างทรัพยากรและความรับผิดชอบ Steinberger กล่าว: “โดยปกติแล้วคุณจะมีผู้ดูแลซอฟต์แวร์โอเพ่นซอร์สหนึ่งหรือสองคน และคุณจะมีทีมงานที่จะวิ่งการตรวจสอบด้านความปลอดภัยและโจมตีคุณด้วยเหตุการณ์ด้านความปลอดภัย”

ช่องโหว่ log4j ในปี 2021 เป็นตัวอย่างที่ชัดเจนของวิธีการที่ช่องโหว่เดียวในซอฟต์แวร์โอเพ่นซอร์สที่ใช้กันอย่างกว้างขวางสามารถส่งผลกระทบต่อทุกด้านของภูมิทัศน์เทคโนโลยี โดยส่งผลกระทบต่อแอปพลิเคชันเชิงพาณิชย์มากมาย

วิธีการทำงานของ Patch the Planet

แทนที่จะเพียงแค่ส่งรายงานช่องโหว่ให้กับผู้ดูแล OpenAI ได้พัฒนาแนวทางที่ออกแบบมาเพื่อลดภาระ Steinberger เน้นย้ำว่าทำไมสิ่งนี้จึงมีความสำคัญ: “เราได้เห็นในปีนี้ว่า AI มีประสิทธิภาพในการค้นหาช่องโหว่ แต่นั่นไม่เพียงพอ เราต้องแก้ไขมันจริงๆ หากเราต้องการทำให้โลกนี้มีความปลอดภัยมากขึ้น นั่นคือสิ่งที่เรากำลังทำกับ Patch the Planet”

วิศวกรด้านความปลอดภัยจะตรวจสอบผลการค้นหาช่องโหว่ก่อนที่จะส่งให้กับผู้ดูแล และทำงานร่วมกับโครงการเพื่อพัฒนาแพตช์และการทดสอบ และสร้างกระบวนการทำงานที่สามารถใช้ซ้ำเพื่อช่วยให้ทีมงานสามารถปรับปรุงความปลอดภัยได้อย่างต่อเนื่องหลังจากที่แพตช์แรกถูกส่งออกไป

Trail of Bits บริษัทด้านความปลอดภัยที่มีประสบการณ์ ได้ให้คำมั่นสัญญาว่าจะให้การสนับสนุนการวิจัยด้านความปลอดภัยทั้งหมดของตนเพื่อสนับสนุนความพยายามนี้ พวกเขาทำงานร่วมกับผู้ดูแลโครงการโดยตรงเพื่อตรวจสอบปัญหา พัฒนาแพตช์ และจัดการการเปิดเผยช่องโหว่ การร่วมมือนี้ยังรวมถึงการร่วมมือกับ HackerOne และ Calif เพื่อทำงานด้านการค้นหาช่องโหว่และวิเคราะห์ความปลอดภัยเพิ่มเติม

สิ่งที่สำคัญที่สุดคือ แนวทางของ OpenAI นั้นถูกสร้างขึ้นบนพื้นฐานของความสัมพันธ์ที่แท้จริงกับชุมชนโอเพ่นซอร์ส Steinberger อธิบาย: “เรามีความสัมพันธ์ที่มีอยู่แล้วในชุมชนโอเพ่นซอร์ส และเราสามารถสร้างความไว้วางใจได้มากกว่าหนึ่งทศวรรษของการทำงาน ด้วยเหตุนี้ เราจึงสามารถเปิดประตูให้กับหลายๆ โครงการได้”

การมีส่วนร่วมแต่ละครั้งเริ่มต้นด้วยการปรึกษาหารือกันระหว่างวิศวกรด้านความปลอดภัยและผู้ดูแลโครงการ จากนั้นทีมงานจะประเมินว่าทรัพยากรด้านความปลอดภัยเพิ่มเติมจะถูกนำไปใช้ประโยชน์ได้ดีที่สุดใน哪里 ไม่ว่าจะเป็นการตรวจสอบช่องโหว่ การพัฒนาแพตช์ หรือการทำงานด้านวิศวกรรมในระยะยาว

อาวุธวิจัยที่ขับเคลื่อนด้วย AI

สิ่งที่ทำให้ Patch the Planet มีความโดดเด่นคือการผสมผสานเครื่องมือ AI ที่ทุกขั้นตอน นักวิจัยด้านความปลอดภัยได้รับการสนับสนุนจากโมเดลและ Codex Security เพื่อช่วยในการวิเคราะห์ การพัฒนาแพตช์ การทดสอบ และการสร้างเอกสาร โครงการที่เข้าร่วมจะได้รับการเข้าถึง ChatGPT Pro และ API credits สำหรับการพัฒนาและกระบวนการเปิดเผย

อย่างไรก็ตาม คุณค่าที่แท้จริงนั้นอยู่เกินกว่าการทำงานอัตโนมัติ Steinberger กล่าว: “หลายคนสามารถใช้ซอฟต์แวร์นี้เพื่อค้นหาช่องโหว่ แต่คุณค่าที่แท้จริงอยู่ที่การตัดสินใจเกี่ยวกับผลลัพธ์และการสร้างแพตช์” แนวทางที่มีมนุษย์เป็นศูนย์กลางนี้รับประกันว่าผลการค้นหาของ AI จะถูกตรวจสอบและสามารถนำไปใช้ได้จริง ไม่ใช่แค่ปริมาณที่มาก

Trail of Bits ใช้การวิ่งซ้ำของ Codex ร่วมกับ GPT-5.5-Cyber เพื่อสร้างห้องทดสอบ fuzzing ที่ครอบคลุมหลายจุดเข้าหลายจุด สร้างและแพลตฟอร์มต่างๆ ในเวลาไม่ถึงวัน ซึ่งงานนี้โดยปกติจะใช้เวลาหลายสัปดาห์ Steinberger เน้นย้ำถึงผลกระทบต่อประสิทธิภาพ: “Codex ช่วยให้ทีมของเราสามารถส่งสิ่งที่ต้องการได้ภายในหนึ่งวัน ซึ่งโดยปกติจะใช้เวลาหลายสัปดาห์ สำหรับโครงการหนึ่ง เราสร้างห้องทดสอบ fuzzing ทั้งหมดภายในหนึ่งวัน”

ในทำนองเดียวกัน ทีมงานได้พัฒนากระบวนการที่ดึงข้อมูลประวัติของ CVE และค้นหาช่องโหว่ที่เกี่ยวข้องในฐานโค้ดเป้าหมายอย่างรวดเร็ว ซึ่งช่วยให้กระบวนการวิเคราะห์แบบแปรผันเร็วขึ้นอย่างมาก

ผลลัพธ์แรกที่น่าประทับใจ

ผลการค้นหาของโครงการในระยะแรกแสดงให้เห็นถึงผลกระทบที่อาจเกิดขึ้น Trail of Bits ได้พบช่องโหว่ด้านความปลอดภัยหลายร้อยช่องใน 19 โครงการโอเพ่นซอร์ส โดยมีการเปิดเผยที่ประสานกันอยู่หลายรายการ

การค้นพบเหล่านี้ครอบคลุมทุกด้านของสแต็กซอฟต์แวร์:

ระบบปฏิบัติการ: GPT-5.5-Cyber ระบุองค์ประกอบที่เกี่ยวข้องกับความปลอดภัยในโค้ดลินุกซ์เคอร์เนลมากกว่า 30 ล้านบรรทัด

โครงสร้างพื้นฐานเครือข่ายที่สำคัญ: ทีมงานยังพบ “HTTP/2 Bomb” ช่องโหว่การปฏิเสธบริการที่ส่งผลกระทบต่อเซิร์ฟเวอร์เว็บหลักๆ โดยแสดงให้เห็นว่าเว็บไซต์มากกว่า 880,000 เว็บไซต์ที่เผยแพร่บนอินเทอร์เน็ตใช้ซอฟต์แวร์ที่ได้รับผลกระทบ

เว็บเบราว์เซอร์: นักวิจัยของ OpenAI พบช่องโหว่ที่สามารถใช้ได้ 5 ช่องใน Chrome และมากกว่า 10 ช่องใน Safari

การเคลื่อนไหวที่มีการแข่งขันและการบริการชุมชน

โครงการนี้สามารถอ่านได้ว่าเป็นการเคลื่อนไหวที่มีการแข่งขันกับ Anthropic ในขณะเดียวกันก็ยอมรับว่ามันแก้ไขความต้องการที่ชุมชนโอเพ่นซอร์สต้องการอย่างเร่งด่วน OpenAI ใช้ความสามารถด้าน AI ของตนเพื่อพลิกสคริปต์บนความปลอดภัยด้านไซเบอร์ที่ขับเคลื่อนด้วย AI แทนที่จะทำให้การโจมตีเป็นอัตโนมัติ บริษัทกำลังทำให้การป้องกันการโจมตีเป็นอัตโนมัติ

อย่างไรก็ตาม ความสำคัญของการดูแลโดยมนุษย์ไม่สามารถเน้นย้ำได้มากพอ วิศวกรของ Trail of Bits ตรวจสอบช่องโหว่ด้านความปลอดภัยทุกช่องก่อนที่จะส่งให้กับผู้ดูแล โดยการลบการซ้ำ การประเมินความรุนแรง และจัดลำดับความสำคัญของช่องโหว่ที่ได้รับการยืนยันเพื่อการแก้ไข แนวทางที่มีมนุษย์เป็นศูนย์กลางนี้แก้ไขข้อบกพร่องที่สำคัญในระบบอัตโนมัติแบบบริสุทธิ์: การมีแนวโน้มที่จะทำให้ผู้ดูแลถูกครอบงำด้วยผลบวกที่เป็นเท็จ

สิ่งที่จะเกิดขึ้นต่อไป

โอเพ่นเอไอได้ให้คำมั่นสัญญาที่จะเผยแพร่รายงานทางเทคนิคที่ลึกซึ้งยิ่งขึ้นเมื่อการเปิดเผยที่ประสานกันเสร็จสิ้น โดยบันทึกการค้นพบแต่ละรายการ วิธีการวิจัย และบทเรียนที่ผู้ป้องกันอื่นๆ สามารถนำไปใช้ได้ บริษัทนี้ยังรับสมัครจากผู้ดูแลซอฟต์แวร์โอเพ่นซอร์สที่สนใจเข้าร่วมโครงการ

โครงการนี้สร้างขึ้นบนหลักการว่าซอฟต์แวร์โอเพ่นซอร์สเป็นโครงสร้างพื้นฐานที่ใช้ร่วมกัน และการรักษาความปลอดภัยควรเป็นงานที่ใช้ร่วมกัน Steinberger สรุปด้วยการเรียกให้ดำเนินการโดยตรง: “การรักษาความปลอดภัยของซอฟต์แวร์ทั่วโลกเริ่มต้นด้วยการช่วยเหลือผู้ดูแลซอฟต์แวร์ หากคุณแบ่งปันภารกิจนี้ มาร่วมเรา”

เมื่อ AI ยังคงเร่งการค้นพบช่องโหว่ การรับประกันว่าผลประโยชน์เหล่านี้จะถึงมือผู้ดูแลและผู้ใช้ที่ต้องการมากที่สุด และผู้อยู่เบื้องหลังซอฟต์แวร์จะได้รับการสนับสนุนและได้รับการยกย่อง มีความสำคัญมากขึ้นสำหรับระบบนิเวศเทคโนโลยีทั้งหมด

Juan Pablo Aguirre Osorio เป็นนักข่าวที่ร่วมให้ข้อมูลกับ Espacio Media Incubator โดยมีพื้นฐานมาจากวิศวกรรม full-stack Juan Pablo นำพื้นฐานด้านเทคนิคมาใช้ในการรายงานเกี่ยวกับเทคโนโลยีล้ำสมัย รวมถึง AI ผลงานของเขาได้รับการเผยแพร่ใน HackerNoon, The Sociable และอื่นๆ และเขาเคยเป็น Student Ambassador ที่ Microsoft