OpenAI携手Trail of Bits发起”修补星球”开源安全计划

OpenAI于本周一宣布推出一项全新计划，旨在帮助开源社区提升网络安全能力、及时修复漏洞。

这项名为”Patch the Planet”（修补星球）的计划，名称灵感隐约来自1995年电影《黑客》中的经典台词”Hack the Planet”（黑进星球）。根据计划内容，OpenAI将与安全公司Trail of Bits携手合作，帮助开源项目维护者加固其代码安全。

OpenAI表示，Trail of Bits的安全工程师将直接与开源项目维护者协作，共同审查潜在的代码问题，并在此过程中借助OpenAI的安全工具——例如Codex Security——提供技术支持。

“许多维护者已经面临着在有限时间和资源下处理越来越多报告的压力，”OpenAI在周一的声明中指出，”‘修补星球’计划的目标是减轻这一负担，而非增加负担：安全工程师会在问题到达维护者之前先行审查发现的内容，与项目方共同制定补丁和测试方案，并构建可复用的工作流程，帮助团队在首批修复落地后持续提升安全性。”

换言之，Trail of Bits的工程师将扮演类似”代码急救人员”的角色——在OpenAI软件的支持下，协助开源项目维护者识别和处理潜在问题。这听起来是一个颇具野心的项目，但其长期运作模式以及是否具备规模化扩展的能力，目前尚不明朗。

开源项目是商业软件行业赖以运转的数字基石，然而由于该生态系统分散、监管薄弱的特性，其中大量软件存在安全隐患。开源项目中的漏洞一旦蔓延，可能给商业代码库带来严重问题。几年前爆发的log4j安全事件便是典型案例——一个广泛使用的开源组件被发现存在严重漏洞，引发了大规模的安全危机。

目前，外界对Mythos（Anthropic高调推出的安全工具）等工具的担忧，很大程度上源于AI已能够自动识别代码库中的已有漏洞，并着手生成相应的攻击利用程序。尽管网络犯罪的自动化并非新鲜事，但此类工具无疑有可能大幅降低恶意行为者实施攻击的门槛。

OpenAI此次则反其道而行之，将AI的能力用于帮助开源社区更好地保护自身安全。这一举措很难不让人联想到其对Anthropic的竞争回应，但同时也不可否认，这正是开源社区迫切需要的支持。

Q&A

Q1：OpenAI”修补星球”计划具体是怎么运作的？

A：OpenAI与安全公司Trail of Bits合作，由Trail of Bits的安全工程师直接介入开源项目，在问题反馈给维护者之前先行审查，协助制定补丁和测试方案，并搭建可复用的安全工作流程。整个过程借助OpenAI的Codex Security等安全工具提供技术支撑，目标是减轻开源维护者的安全压力，而非增加负担。

Q2：开源软件为什么容易出现安全漏洞？

A：开源项目是商业软件的重要基础，但由于其生态系统高度分散、缺乏统一监管，大量项目在安全方面存在薄弱环节。维护者通常资源有限，难以应对数量庞大的安全报告。log4j事件就是一个典型例子——一个被广泛使用的开源组件出现严重漏洞，迅速波及大量商业系统，造成了严重的安全危机。

Q3：OpenAI的这个计划和Anthropic的Mythos工具有什么区别？

A：Anthropic的Mythos工具因能自动识别代码漏洞并生成攻击利用程序而引发安全界担忧，被认为可能被恶意行为者利用。OpenAI的”修补星球”计划则走向相反——将AI能力用于防御侧，帮助开源社区主动发现并修复漏洞，而非制造攻击工具，两者在定位和目标上存在明显差异。