OpenAI ในวันที่ 23 มิถุนายน ประกาศแผน “Patch the Planet” เพื่อดำเนินการสแกนความปลอดภัยอย่างเป็นระบบกับโครงการโอเพนซอร์สหลักระดับโลก ตามคำแถลงของ OpenAI ช่วงสัปดาห์แรกพบช่องโหว่ด้านความปลอดภัยจำนวนหลายร้อยจุด ส่ง 64 รายการ pull requests และเปิด 51 issues ครอบคลุมโอเพนซอร์ส 19 โครงการ รวมถึง cURL, Python, PyPI และอื่น ๆ
Patch the Planet พันธมิตร เครื่องมือ AI และชุดทรัพยากรสำหรับผู้เข้าร่วม
(來源:OpenAI 網站)
จากคำประกาศของ OpenAI พันธมิตรของโครงการ ได้แก่ Trail of Bits (บริษัทด้านความปลอดภัย), HackerOne (แพลตฟอร์มรางวัลสำหรับการรายงานช่องโหว่) และ Calif โดยเครื่องมือ AI ที่ให้มามี 2 รายการ ได้แก่ Codex Security และ GPT-5.5-Cyber
ทรัพยากรสำหรับผู้เข้าร่วมประกอบด้วย: สิทธิ์การเข้าถึง ChatGPT Pro; การเข้าถึงแบบมีเงื่อนไขสำหรับ Codex Security; API credits; และโครงสร้างพื้นฐานด้านความปลอดภัย (fuzzing harnesses〔ชุดทดสอบที่ทำให้โค้ดป้อนอินพุตแบบสุ่มโดยอัตโนมัติเพื่อกระตุ้นให้เกิดบั๊กที่ซ่อนอยู่〕, pipeline วิเคราะห์ประวัติ CVE, ระบบทดสอบแบบเชิงเปรียบต่าง (differential testing), แบบจำลองภัยคุกคาม และชุดทดสอบแบบขยาย)
เป้าหมายโอเพนซอร์ส 19 โครงการแรก และผลลัพธ์เชิงปริมาณในสัปดาห์แรก
ตามคำประกาศของ OpenAI โอเพนซอร์ส 19 โครงการที่ครอบคลุมในรอบแรก ได้แก่ cURL, Python, PyPI, urllib3, aiohttp, โปรเจกต์ Go, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto และ python.org เป็นต้น
ผลลัพธ์เชิงปริมาณในสัปดาห์แรก (แหล่งที่มา: คำประกาศของ OpenAI): พบช่องโหว่ด้านความปลอดภัยจำนวนหลายร้อยจุด ส่ง 64 รายการ pull requests และเปิด 51 issues ผลลัพธ์ข้างต้นเป็นผลรวมของ 19 โครงการทั้งหมด โดยการกระจายช่องโหว่แยกตามแต่ละโครงการไม่ได้มีการเปิดเผยทีละรายการในคำประกาศที่มีอยู่
ภาวะที่ท้าทายด้านความปลอดภัยของโอเพนซอร์ส และบริบทเชิงประวัติศาสตร์ของ log4j
เหตุการณ์ช่องโหว่ log4j (ธันวาคม 2021): Apache log4j เป็นเครื่องมือบันทึก (log) ที่ใช้อย่างแพร่หลายภายในระบบนิเวศ Java โดยช่องโหว่ด้านความปลอดภัยของมันถูก CISA (หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานด้านความปลอดภัยของสหรัฐฯ) ระบุว่าเป็น “หนึ่งในช่องโหว่ที่รุนแรงที่สุดเท่าที่เคยมีมา”
ปัญหาเชิงโครงสร้าง (การวิเคราะห์ของผู้เขียนต้นฉบับ): ผู้เขียนต้นฉบับชี้ว่าปัญหาด้านความปลอดภัยของระบบนิเวศโอเพนซอร์สโดยแก่นแท้คือปัญหาด้านทรัพยากรบุคคล: โอเพนซอร์สหลายแสนแพ็กเกจทั่วโลก ผู้ดูแลมักมีเพียงหนึ่งหรือสองคน ทำให้ไม่สามารถทำการตรวจสอบความปลอดภัยเชิงลึกกับโค้ดทั้งหมดได้ และช่องโหว่มักจะถูกค้นพบหลังจากผ่านไปหลายปีแล้ว กรอบการวิเคราะห์ของผู้เขียนต้นฉบับคือ AI มีจุดแข็งไม่ใช่การหา “ช่องโหว่ระดับอัจฉริยะ” แต่คือการรักษาความหนาแน่นในการสแกนโค้ดฐานจำนวนมากอย่างต่อเนื่องในระดับที่กำลังคนไม่สามารถทำได้ ข้อความข้างต้นเป็นมุมมองของผู้เขียนต้นฉบับ ไม่ใช่คำอธิบายอย่างเป็นทางการของ OpenAI
คำถามที่พบบ่อย
ผลลัพธ์เชิงปริมาณของ Patch the Planet ในสัปดาห์แรกเปิดเผยโดยฝ่ายใด?
ตัวเลข “ช่องโหว่หลายร้อยจุด, pull requests 64 รายการ, issues 51 รายการ” มาจากคำประกาศอย่างเป็นทางการของ OpenAI ซึ่งเป็นผลรวมของโอเพนซอร์ส 19 โครงการ สำหรับว่าโอเพนซอร์สแต่ละโครงการได้ยอมรับและรวมแพตช์เหล่านี้แล้วหรือไม่ ต้องอ้างอิงจากบันทึกการอัปเดตในคลังเวอร์ชัน (repository) ของแต่ละโครงการ
Codex Security และ GPT-5.5-Cyber แตกต่างกันอย่างไร?
ตามคำประกาศของ OpenAI ทั้งสองเป็นเครื่องมือ AI ด้านความปลอดภัยที่โครงการจัดให้ โดยวิธีการเข้าถึง Codex Security ระบุว่าเป็น “การเข้าถึงแบบมีเงื่อนไข” ส่วน GPT-5.5-Cyber เป็นเครื่องมือ AI รุ่นอัปเดต ความแตกต่างด้านฟังก์ชันและข้อกำหนดทางเทคนิคไม่ได้มีการอธิบายอย่างละเอียดในคำประกาศที่มีอยู่
ทำไม OpenAI จึงเลือก cURL, Python ซึ่งเป็นโครงสร้างพื้นฐานที่ใช้อย่างแพร่หลาย แทนที่จะเป็นโปรเจกต์อื่น?
ผู้เขียนต้นฉบับระบุว่าเป็น “โครงสร้างพื้นฐานของอินเทอร์เน็ตสมัยใหม่ทั้งหมด” การติดตั้ง cURL ทั่วโลกมีการประเมินว่ามากกว่า 200000000000 อุปกรณ์ ในโครงสร้างพื้นฐานที่แพร่หลายเช่นนี้ ช่องโหว่ย่อมส่งผลกระทบที่อาจขยายวงกว้างกว่ากลุ่มเครื่องมือเฉพาะกลุ่ม ซึ่งเป็นการตีความของผู้เขียนต้นฉบับเกี่ยวกับเกณฑ์การเลือก และไม่ใช่คำอธิบายการเลือกอย่างเป็นทางการของ OpenAI
