上世纪90年代有一部电影叫《Hackers》,里面有一句经典台词「Hack the Planet」(攻陷地球)。上周OpenAI启动了一个新项目,名字叫「Patch the Planet」——把「hack」换成了「patch」(修补),意思很直白:我们不来搞破坏,我们来帮你补漏洞。
这个计划是OpenAI跟安全公司Trail of Bits一起做的。具体怎么做呢?Trail of Bits的安全工程师会直接跟开源项目的维护者对接,帮他们审查代码里可能有问题的地方,OpenAI自己的安全工具(比如Codex Security)会在过程中帮忙。
「很多维护者已经被要求用更有限的时间和资源,更快地处理更多的报告。Patch the Planet的设计是为了减轻这个负担,而不是增加它:安全工程师会在发现到达维护者之前先审查,跟项目合作开发补丁和测试,并建立可复用的工作流,帮助团队在首批修复落地后继续改进安全性。」
开源的「公地悲剧」
这个计划针对的问题其实由来已久。开源软件是现代软件产业的基石——几乎每一家商业软件公司,背后都在用无数开源项目搭起来的轮子。但这个生态有个老问题:它是去中心化的,没有人真的「拥有」它,也就没有人真的为它的安全负责。
几年前的log4j漏洞事件就是一个典型例子。一个几乎无处不在的开源工具里发现了严重漏洞,结果整个互联网都慌了,大家忙着排查自己有没有用这个库。这种事情反复发生,说明开源生态的安全状况确实令人担忧。
OpenAI这次出手,等于是给开源社区派了一支「代码急救队」。Trail of Bits的工程师扮演的角色有点像 EMT(紧急医疗技术员)——哪里有需要,就去哪里帮忙评估和分类潜在问题,而且背后还有OpenAI的软件工具提供支持。
一石二鸟?
这个项目还有一个值得玩味的背景。最近这段时间,AI用于网络安全的话题一直很敏感——尤其是Anthropic的Mythos工具(一个高度宣传的安全工具)让很多人担心,因为AI现在可以自动识别代码里的漏洞,然后还可能被用来生成攻击利用代码。
虽然网络攻击的自动化并不是什么新鲜事,但这些新工具确实让坏人干坏事变得容易多了。在这种氛围下,OpenAI反过来用AI帮开源社区提升防御能力,这个举动很难不让人觉得是在跟Anthropic「打对台」。
当然,OpenAI也说这个计划的出发点是开源社区真正需要的。两相并立,倒也不一定是坏事——只要最后是开源项目的安全性真的提高了,谁「赢」了这场公关战其实并不重要。
能走多远?
这个项目目前来看野心不小,但也有一些悬而未决的问题。比如,这个模式怎么规模化?Trail of Bits的工程师团队规模有限,能服务的开源项目数量自然也有限。OpenAI说他们会建立「可复用的工作流」,让项目团队在首批修复之后能够自己继续改进安全性,这可能是他们想到的规模化路径。
另一个问题是,这个计划会覆盖哪些开源项目?是只针对那些影响力特别大的,还是也会照顾到中小型项目?OpenAI目前还没有公布具体的筛选标准。
不管怎样,这件事对整个开源生态来说是个好消息。有这么大体量的公司愿意投入资源来做这件事,总比大家各自为战要好。接下来就看执行得怎么样了。
发表回复