OpenAI与Trail of Bits推出Patch the Planet

关键信息

OpenAI表示，Trail of Bits工程师会先审查发现的问题，再与项目方一起制作补丁和测试，并建立可复用的工作流以便持续改进安全性。文章也指出，这个计划未来如何扩展仍不明确，而且它也像是对外界担心AI工具会被用来发现并武器化漏洞的一种回应。

资讯摘要

OpenAI在周一宣布启动一项名为“Patch the Planet”的开源安全新计划。这个名字明显致敬了电影《Hackers》中的经典口号“Hack the Planet”，该项目将与安全公司Trail of Bits合作推进。根据OpenAI的说法，Trail of Bits的安全人员会直接和开源维护者一起工作，审查潜在的代码问题。OpenAI还会使用自己的工具，包括Codex Security，来辅助这一流程。

公司强调，这个计划的目标不是给维护者增加额外负担，而是在问题到达维护者之前先筛选和审查，并帮助生成补丁和测试。OpenAI还表示，他们希望建立可复用的工作流，让项目在首批修复完成后仍能继续改进安全性。文章把Trail of Bits工程师的角色比作“代码急救人员”，负责帮助项目进行分诊和稳定处理。不过，报道也指出，这个计划未来如何扩展，以及长期运行模式会是什么样，目前仍不清楚。

资讯正文

OpenAI 周一宣布了一项新举措，旨在帮助开源社区提升网络安全能力并防范漏洞。

“Patch the Planet”（这个名字显然是在影射 1995 年电影《Hackers》中的经典台词“Hack the Planet”）将由 OpenAI 与安全公司 Trail of Bits 合作，帮助开源维护者加固他们的项目。

OpenAI 表示，Trail of Bits 的安全人员将直接与开源维护者合作，审查潜在的代码问题。OpenAI 的安全工具——例如 Codex Security——将被用来协助这一过程。

“许多维护者已经被要求在同样有限的时间和资源下，更快地筛查更多报告，”OpenAI 周一表示。“Patch the Planet 的目标是减轻这种负担，而不是增加负担：安全工程师会在发现结果送到维护者手中之前先进行审查，与项目合作开发补丁和测试，并构建可复用的工作流程，帮助团队在首批修复落地后继续提升安全性。”

换句话说，Trail of Bits 的工程师在某种程度上会像代码急救员一样——帮助开源项目维护者识别并分流潜在问题，而这一切都由 OpenAI 的软件提供支持。这听起来是个雄心勃勃的项目，但它长期将如何运作、以及打算如何扩展规模（如果会的话），目前都还不太清楚。

开源项目是商业软件行业赖以建立的数字基石，但不幸的是，由于这一生态系统去中心化且缺乏有效监控，其中许多软件并不安全。开源项目中的漏洞可能演变为商业代码库中的重大问题。几年前的 log4j 事件就是一个很好的例子——当时一个广泛使用的开源工具中被发现了严重漏洞。

围绕 Mythos（Anthropic 备受关注的安全工具）等工具的许多担忧，似乎都源于这样一个事实：如今 AI 可以自动识别代码库中已有的漏洞，并着手为其创建利用方式。虽然网络犯罪的自动化并不新鲜，但这些工具无疑有潜力让坏人更容易实施攻击。

OpenAI 则反其道而行之，利用 AI 帮助开源社区更好地保护自己。很难不把这解读为对 Anthropic 的一次竞争性回击，同时也不得不承认，这正是开源社区迫切需要的。

来源与参考

1. 原始链接
2. OpenAI launches new initiative to help find and patch open source bugs | TechCrunch