根据介绍,OpenAI 将与安全公司 Trail of Bits 合作,由后者的安全工程师直接与开源项目维护者对接,审查潜在代码问题,并在此过程中调用 OpenAI 自家的安全工具,例如 Codex Security。 OpenAI 表示,许多维护者已经面临“报告数量激增、处理时间不变”的双重压力,而“Patch the Planet”的目标是减轻而非加重这一负担。 Trail of Bits 的工程师会在问题交到维护者手中之前先行筛选和复核,再与项目一起制定补丁与测试方案,并构建可复用的安全工作流,帮助团队在首轮修复之后持续改进安全性。
用该公司的比喻,Trail of Bits 的角色更像是“代码急救员”(code EMT):借助 OpenAI 软件能力,协助开源维护者识别并分级处理潜在安全隐患。 不过,从目前公开信息来看,这一项目如何在长期保持运转、以及未来是否会扩容到更大规模,仍存在不少不确定性。
开源软件被视为当今商业软件产业的数字“地基”,但由于生态高度分散、监管薄弱,其中相当一部分项目存在安全性不足的问题。 一旦广泛使用的开源组件暴露出严重漏洞,后果可能迅速波及大量商业系统,此前广受关注的 log4j 漏洞事件就是典型案例。
近来围绕 Anthropic 安全工具 Mythos 的争议,恰恰源于类似 AI 系统已经能够自动在代码库中发现漏洞并尝试生成利用方式。 虽然网络犯罪自动化并非首次出现,但这些新工具无疑大幅降低了恶意行为者发起攻击的门槛。 OpenAI 此次则试图“反向利用”同类技术,把 AI 用在帮助开源社区自我防护上。 在外界看来,这既是对 Anthropic 的一种竞争性回应,也切中了开源世界在安全能力与资源上的长期痛点。