Patch the Planet: как OpenAI поможет находить и исправлять уязвимости в открытом коде
OpenAI анонсировала новый проект «Patch the Planet» — инициативу, призванную помочь open source-сообществу усилить кибербезопасность и бороться с уязвимостями. Название — недвусмысленная отсылка к знаменитой фразе «Hack the Planet» из фильма «Хакеры» (1995).
Проект реализуется совместно с компанией Trail of Bits: её специалисты будут напрямую работать с мейнтейнерами открытых проектов, анализируя потенциальные проблемы в коде. При этом задействуют ИИ-инструменты OpenAI, например, Codex Security.
«Многим мейнтейнерам приходится обрабатывать всё больше отчётов за ограниченное время, располагая теми же ресурсами, — отметили в OpenAI. — Patch the Planet создан, чтобы не увеличивать бремя, а облегчить его: инженеры безопасности проверяют находки до того, как они попадают к сопровождающим, вместе с проектами разрабатывают патчи и тесты, а также выстраивают переиспользуемые процессы, которые помогут командам укреплять безопасность и после первых исправлений».
Другими словами, инженеры Trail of Bits станут чем-то вроде «скорой помощи» для кода — они будут помогать выявлять и сортировать угрозы, опираясь на программные решения OpenAI. Амбициозная инициатива, хотя пока непонятно, как проект будет работать в долгосрочной перспективе и планируется ли масштабирование.
Уязвимости open source — бомба замедленного действия
Открытые проекты служат цифровым фундаментом коммерческой индустрии ПО. Однако из-за децентрализованной и слабо контролируемой структуры экосистемы многие проекты содержат уязвимости. Дефекты в open source могут обернуться серьёзными проблемами для коммерческого кода. Наглядный пример — нашумевшая уязвимость в Log4j несколько лет назад, когда в широко используемой библиотеке обнаружилась критическая брешь.
Опасения вокруг инструментов вроде Mythos (громко разрекламированного продукта Anthropic) во многом вызваны тем, что ИИ способен автоматически находить уязвимости в коде и создавать эксплойты для них. Автоматизация кибератак не новость, но подобные инструменты делают жизнь злоумышленникам заметно удобнее.
ИИ на страже open source
OpenAI переворачивает привычную формулу: вместо того чтобы помогать хакерам, ИИ защищает сообщество разработчиков открытого кода. В этом шаге легко увидеть конкурентный выпад в сторону Anthropic, но нельзя не признать: подобная помощь open source-сообществу давно назрела.