OpenAI 于 6 月 23 日宣布「Patch the Planet」计划,对全球核心开源项目进行系统性安全扫描。根据 OpenAI 的公告,计划首周发现数百个安全漏洞、提交 64 个 pull requests、开立 51 个 issues,横跨 cURL、Python、PyPI 等 19 个开源项目。
Patch the Planet 的合作方、AI 工具与参与者资源包
(来源:OpenAI 网站)
根据 OpenAI 的公告,计划的合作伙伴为 Trail of Bits(资安公司)、HackerOne(漏洞奖励平台)及 Calif;提供的两款 AI 工具为 Codex Security 和 GPT-5.5-Cyber。
参与者资源包括:ChatGPT Pro 存取权限;Codex Security 条件存取;API credits;以及安全基础设施(fuzzing harnesses〔让程序自动喂入随机输入以逼出潜藏 bug 的测试框架〕、历史 CVE 分析管线、差分测试系统、威胁模型和扩充测试套件)。
首波 19 个目标开源项目与第一周量化成果
根据 OpenAI 的公告,首波覆盖的 19 个开源项目包括:cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 和 python.org 等。
第一周量化成果(来源:OpenAI 公告):发现数百个安全漏洞;提交 64 个 pull requests;开立 51 个 issues。上述成果为 19 个项目的整体合计,各个项目的漏洞分布未在现有公告中逐一披露。
开源资安困境与 log4j 的历史背景
log4j 漏洞事件(2021 年 12 月):Apache log4j 是 Java 生态系中广泛使用的日志工具,其安全漏洞被美国网络安全暨基础设施安全局(CISA)称为「有史以来最严重的漏洞之一」。
结构性问题(原文作者分析):原文指出,开源生态的资安问题本质上是人力问题:全球数十万个开源套件,维护者往往只有一两个人,无法对所有代码进行完整的安全审计;漏洞往往在出现多年后才被发现。原文的分析框架是,AI 的优势不在于找到天才级漏洞,而在于以人力无法维持的密度持续扫描大量代码库。以上为原文作者的观点,并非 OpenAI 的官方论述。
常见问题
Patch the Planet 首周的量化成果由哪方披露?
「数百个漏洞、64 个 pull requests、51 个 issues」的数字来自 OpenAI 的官方公告,是 19 个开源项目的整体合计。各个开源项目是否已接受并合并这些修补,需以各自项目的版本库更新记录为准。
Codex Security 和 GPT-5.5-Cyber 有何区别?
根据 OpenAI 公告,两者是计划提供的两款不同 AI 资安工具;Codex Security 的存取方式标注为「条件存取」,GPT-5.5-Cyber 为更新版 AI 工具。具体功能差异和技术规格未在现有公告中详细说明。
为什么 OpenAI 选择 cURL、Python 这类广泛使用的基础设施而非其他项目?
原文指出,这些是「整个现代互联网的基础设施」;cURL 的全球安装量估计超过 200 亿台装置。在此类广泛基础设施中发现的漏洞,潜在影响范围远大于小众工具,这是原文作者对选择标准的解读,并非 OpenAI 的官方选择说明。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
