OpenAI这两天搞了个新动作,叫”Patch the Planet”——名字玩了个梗,致敬1995年那部黑客电影《Hackers》里的经典台词”Hack the Planet”。不过这次他们不是来黑系统的,是来帮开源社区补漏洞的。
具体来说,OpenAI找了家叫Trail of Bits的安全公司一起干。这家公司的安全工程师会直接跟开源项目的维护者对接,帮他们审查代码里可能存在的问题。当然,OpenAI自己的安全工具也会上阵,比如那个Codex Security。
开源软件的安全困境
为啥要搞这个?OpenAI的说法挺实在的:现在很多开源维护者本来就忙得要死,结果还要面对越来越多的安全报告,时间和资源都有限,根本处理不过来。
“Patch the Planet”就是来减轻这个负担的,不是来添乱的——安全工程师会先把发现的问题过一遍,再交给维护者,还会帮忙写补丁和测试,甚至建立可复用的流程,让项目团队在第一次修复之后也能继续改进安全性。
这话听起来,Trail of Bits的工程师更像是代码的”急救员”——帮维护者识别问题、分类处理,背后还有OpenAI的软件撑腰。
log4j的教训还在眼前
说回开源软件的问题。开源项目可以说是整个商业软件行业的地基,但因为它的结构太分散、监控也不到位,很多开源软件其实并不安全。一旦开源项目里出了漏洞,用到它的商业代码也就跟着遭殃。
几年前那个log4j漏洞就是个典型例子——一个广泛使用的开源工具里发现了严重漏洞,结果整个互联网都跟着抖三抖。
AI让攻击变得更简单
更让人担心的是,像Anthropic的Mythos这类工具出来之后,AI现在已经能自动识别代码里的现有漏洞,甚至还能琢磨怎么利用这些漏洞搞事情。网络攻击的自动化可不是什么新鲜事,但这些AI工具确实有可能让坏人干坏事变得容易得多。
OpenAI这个”Patch the Planet”能不能真的帮到开源社区,还得走着瞧。但至少,有人开始认真看待这个问题了。
发表回复