OpenAI 宣布「Patch the Planet」計畫,與資安公司 Trail of Bits 合作,首週即發現數百個安全漏洞、提交 64 個 pull requests、開立 51 個 issues,橫跨 cURL、Python、PyPI 等 19 個全球核心開源專案。
(前情提要:Getty Images 盤前噴 300%!與 OpenAI 簽約、授權版權照進駐 ChatGPT)
(背景補充:Anthropic 遭美國政府「封殺」撤下 Fable 模型,外媒指三大隱憂:恐助攻中國開源 AI)
本文目錄
- cURL、Python、PyPI:為什麼是這些專案?
- log4j 的幽靈,與 AI 的新解法
- OpenAI 的公關和戰略定位
一九九五年,電影網路駭客《Hackers》的主角大喊「Hack the Planet」,是一個對抗企業控制網路的宣言。三十年後,OpenAI 把這句口號改成了「Patch the Planet」,同樣的押韻但卻是完全相反的方向。
cURL、Python、PyPI:為什麼是這些專案?
「Patch the Planet」的合作方包括資安公司 Trail of Bits、漏洞獎勵平台 HackerOne 以及 Calif。OpenAI 提供的工具有兩個:Codex Security,以及更新的 GPT-5.5-Cyber。
這次首波受惠的 19 個開源專案,清單本身就很能說明問題:cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 以及 python.org 等。這些不是小眾工具,它們是整個現代網際網路的基礎設施。cURL 被估計安裝在全球逾 200 億臺裝置上,Python 是全球使用最廣泛的程式語言之一…。
選這些目標,意味著 AI 找到的每一個漏洞,影響的可能不是幾百個使用者,而是幾億個系統。
OpenAI 提供給參與者的資源包括:ChatGPT Pro 存取、Codex Security 條件存取、API credits,以及一套完整的安全基礎設施 fuzzing harnesses(簡單來說就是讓程式自動餵隨機輸入、逼出潛藏 bug 的測試框架)、歷史 CVE 分析管線、差分測試系統、威脅模型,以及擴充測試套件。
log4j 的幽靈,與 AI 的新解法
2021 年 12 月,log4j 漏洞事件震動了整個科技業。Apache log4j 是 Java 生態系最廣泛使用的日誌工具之一,美國網路安全域性(CISA)稱之為「有史以來最嚴重的漏洞之一」。問題的根源不是技術太複雜,而是沒有人力去系統性地審計所有依賴它的專案。
開源生態的資安困境,本質上是一個人力問題:全球數十萬個開源套件,維護者往往只有一兩個人,幾乎不可能對所有程式碼進行完整的安全審計。漏洞往往在出現多年後才被發現,而發現者不一定是善意的白帽研究員。
這是「Patch the Planet」試圖切入的結構性問題。AI 的優勢不是找到一個天才級漏洞,而是以人力不可能維持的密度,持續掃描大量程式碼庫。GPT-5.5-Cyber 和 Codex Security 的定位,更接近「自動化資安審計員」,而不是「比人類更聰明的駭客」。
這個定位很重要:如果 AI 只是偶爾找到一個漏洞,那它是工具。如果它能以首週這個速度持續運作,它會開始改變整個開源生態的安全假設。
OpenAI 的公關和戰略定位
AI 資安工具的能力,和 AI 用於攻擊的能力,本質上是同一套技術。能找出漏洞的 GPT-5.5-Cyber,理論上也能被用來利用漏洞。OpenAI 選擇把這套能力包裝成「修補開源世界」,是一個主動的公關和戰略定位,它在說:「我們先使用這個能力做對的事,並且我們做得比任何人都快。」
老話一句:資安的護城河,從來不在於你有沒有掌握漏洞,而在於你能以多快的速度找到它們,然後在壞人用它們之前,先把洞補上。
📍相關報導📍
Anthropic Fable 5 被川普盯上,誰在後方偷笑?媒體揭三大受益者
Token補貼戰將熄火?Google Ventures創辦人警告:AI若降價,商業模式將全面崩盤
馬斯克變身算力軍火商!SpaceX 簽下 Reflection 63 億美元大單,出租 Nvidia GB300 助攻開源 AI
Getty Images 盤前噴 300%!與 OpenAI 簽約、授權版權照進駐 ChatGPT
