OpenAI представила Patch the Planet: в первую неделю обнаружено несколько сотен уязвимостей, затронувших 19 открытых проектов с открытым исходным кодом

OpenAI 23 июня объявила о плане «Patch the Planet», предусматривающем систематическое сканирование безопасности ключевых проектов глобального open source. Согласно заявлению OpenAI, в первую неделю было выявлено несколько сотен уязвимостей, подано 64 pull requests, открыто 51 issue — в 19 открытых проектах, включая cURL, Python, PyPI и другие.

Партнёры, AI-инструменты и ресурсный пакет для участников «Patch the Planet»

（Источник: сайт OpenAI）

Согласно заявлению OpenAI, партнёрами плана стали Trail of Bits (компания в сфере кибербезопасности), HackerOne (платформа для вознаграждений за уязвимости) и Calif; из двух AI-инструментов — Codex Security и GPT-5.5-Cyber.

Ресурсный пакет для участников включает: доступ к ChatGPT Pro; условия доступа к Codex Security; API credits; а также базовую инфраструктуру безопасности (fuzzing harnesses〔тестовые фреймворки, которые автоматически подают случайные входные данные в программу, чтобы вскрывать скрытые баги〕, пайплайны анализа исторических CVE, систему дифференциального тестирования, модели угроз и расширенные наборы тестов).

Первая волна из 19 целевых open source проектов и количественные итоги первой недели

Согласно заявлению OpenAI, первая волна охватывает 19 open source проектов, включая: cURL, Python, PyPI, urllib3, aiohttp, Go project, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto и python.org и др.

Количественные итоги первой недели (Источник: официальное объявление OpenAI): обнаружено несколько сотен уязвимостей; подано 64 pull requests; открыто 51 issue. Эти результаты — суммарные итоги по всем 19 проектам; распределение уязвимостей по отдельным проектам в текущем объявлении не раскрывается поимённо.

Проблема кибербезопасности в open source и исторический контекст log4j

Событие с уязвимостью log4j (декабрь 2021): Apache log4j — широко используемый в Java-индустрии инструмент журналирования; его уязвимость была названа Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) «одной из самых серьёзных уязвимостей в истории».

Структурная проблема (анализ автора оригинала): В оригинале указано, что проблемы кибербезопасности в open source экосистеме по сути — проблема людей: в мире десятки тысяч open source-пакетов, а поддерживающие лица часто состоят из одного-двух человек, поэтому они не могут проводить полноценный аудит безопасности всего кода; уязвимости зачастую обнаруживаются лишь спустя годы. В рамках анализа автора, сильная сторона AI не в поиске «гениальных» уязвимостей, а в том, чтобы с плотностью, которую невозможно обеспечить человеческими ресурсами, постоянно сканировать большие массивы репозиториев. Это точка зрения автора оригинала, а не официальная позиция OpenAI.

Часто задаваемые вопросы

Чьи данные раскрывают количественные итоги первой недели Patch the Planet?

Числа «несколько сотен уязвимостей, 64 pull requests, 51 issue» взяты из официального объявления OpenAI и представляют собой суммарные итоги по 19 open source проектам. Был ли по каждому отдельному проекту принят и объединён эти патчи — нужно сверять с обновлениями в репозиториях соответствующих проектов.

Чем отличаются Codex Security и GPT-5.5-Cyber?

Согласно объявлению OpenAI, оба — два разных AI-инструмента, предоставляемых в рамках плана; для Codex Security способ доступа обозначен как «условный доступ», а GPT-5.5-Cyber — это обновлённый AI-инструмент. Конкретные различия функций и технические спецификации в текущем объявлении подробно не раскрываются.

Почему OpenAI выбрала cURL, Python и подобную базовую инфраструктуру, а не другие проекты?

В оригинале сказано, что это «инфраструктура всего современного интернета»; глобальная оценка инсталляций cURL превышает 200 млрд устройств. В такой широко используемой инфраструктуре уязвимости потенциально затрагивают гораздо более широкий круг, чем в нишевых инструментах — это интерпретация автора оригинала выбора стандарта, а не официальное объяснение со стороны OpenAI.