IT之家6月23日消息,OpenAI于当地时间周一宣布推出一项全新计划,旨在助力开源社区提升网络安全(885459)防护能力、防范代码漏洞。
这项名为“修补地球”(Patch the Planet)的计划,名称明显化用了1995年经典影片《黑客》中的标志性台词“入侵地球”(Hack the Planet)。OpenAI将与网络安全(885459)公司Trail of Bits展开合作,协助开源项目维护者加固项目安全。
OpenAI表示,Trail of Bits的安全技术人员将直接对接开源项目维护者,排查代码中潜藏的各类风险问题,同时搭配OpenAI自研的Codex Security等安全工具开展辅助检测工作。
IT之家注意到,OpenAI在周一的声明中称:“如今多数开源维护者人手、时间资源十分有限,却还要加急处理数量持续暴涨的安全漏洞上报工单。‘修补地球’计划旨在减负而非增负:安全工程师会先对漏洞检测结果做前置核验,再协同项目团队编写漏洞补丁与配套测试用例,并搭建可复用的自动化工(850102)作流,让项目在完成首轮漏洞修复后,能持续迭代优化自身安全防护水平。”
简单来说,Trail of Bits的工程师相当于代码领域的急救人员:依托OpenAI的AI工具,帮助开源项目维护者定位、分级处置各类潜在安全隐患。该计划愿景宏大,但长期落地运行模式、规模化推广方案目前尚不明确。
开源项目是整个商用软件行业的数字基石。但遗憾的是,开源生态分散化、监管薄弱的特性,导致大量开源代码存在安全缺陷。开源程序中的漏洞,极易给各类商用代码库带来重大安全事故,几年前轰动业界的Log4j漏洞事件就是典型案例——一款广泛普及的开源工具被曝出高危漏洞,引发全球大范围安全危机。
业界对Anthropic旗下备受关注的安全工具Mythos等同类产品的担忧,大多源于一个核心隐患:人工智能(885728)如今能够自动扫描代码库中的现存漏洞,并据此生成可利用的攻击程序。网络犯罪自动化并非新鲜事物,但这类AI工具无疑会大幅降低不法分子实施网络攻击的门槛。
而 OpenAI反其道而行之,借助人工智能(885728)赋能开源社区,主动强化自身防御能力。此举一方面难免被视作针对竞品Anthropic的行业竞争动作,另一方面也确实切中了开源社区长久以来迫切的安全需求。
