开源软件有个老问题:它是整个互联网的地基,但维护它的人往往只有两三个,还没工资。bug和漏洞就潜伏在这些代码里,哪天爆出来就是大事——Log4j那次大家都还记得。现在OpenAI说,它想用AI来帮开源社区找漏洞、修漏洞,而且不是只给机器扫一遍就完事,而是派真人去跟项目维护者一起改。
“Patch the Planet”是什么
这个计划叫”Patch the Planet”,名字是在向1995年电影《Hackers》里的经典台词”Hack the Planet”致敬。OpenAI周一(6月22日)正式公布了这个倡议,合作方是一家叫Trail of Bits的安全公司。
具体怎么运作?Trail of Bits的安全工程师会直接跟开源项目的维护者对接,一起审查代码里可能存在的问题。OpenAI自己的安全工具——比如Codex Security——会在这个过程中帮忙做代码分析。
OpenAI在公告里说了一段挺实在的话:”很多维护者已经被要求用更少的时间和资源、更快地处理更多的报告。’Patch the Planet’的设计是减轻这个负担,而不是再给他们加活。”
为什么现在做这件事
开源软件的安全问题不是新鲜事。Log4j事件就是典型案例:一个被无数商业软件依赖的开源工具里出了一个漏洞,结果全球一大片系统都受影响。开源生态的问题在于,它是去中心化的,很多项目的维护者就是靠爱发电,没有足够的人力物力去做系统性的安全审查。
但最近一两年,情况起了变化。AI工具开始出现能自动在代码里找bug、甚至自动生成exploit(攻击脚本)的能力。Anthropic去年推出的Mythos就是一个被广泛讨论的例子——它的本意是帮安全研究人员找漏洞,但同样的技术也可以被坏人用来批量发现并攻击开源项目里的弱点。当AI把”找漏洞”这件事的门槛降到几乎为零的时候,开源生态的脆弱性就被放大了。
OpenAI现在是反过来用AI做防守方——用自家的Codex Security等工具,帮开源社区把漏洞在坏人发现之前先找出来、修好。这个姿态本身也挺有意思:Anthropic的Mythos被不少人质疑会给网络攻击”赋能”,OpenAI这边则直接拿出了一个看起来更负责任的用法。
能做成什么样
当然,这个计划到底能做成什么样,现在还不好说。OpenAI的公告里没有说这个计划会运行多久、覆盖多少项目、怎么选项目,也没有说Trail of Bits的工程师能投入多少时间。开源项目成千上万,漏洞更是数不清,光靠一家安全公司加OpenAI的工具能覆盖多少,是个现实问题。
但至少方向是对的。开源软件的安全问题一直是个”公地悲剧”——大家都在用,但没人愿意出钱维护。现在有几家大科技公司开始认真对待这件事,总比一直放任要好。
更大的背景
这件事的更大背景是:AI正在改变网络安全的攻防平衡。五眼联盟(美国、英国、加拿大、澳大利亚、新西兰的情报共享机制)本月初刚发了一份联合声明,警告各组织”立即行动”应对AI带来的网络威胁,理由是对手已经在用AI提升攻击效率了。
当攻击方用上AI的时候,防守方如果还是老办法,肯定是来不及的。OpenAI这个计划至少是在尝试用AI的速度来对抗AI的威胁——哪怕它能不能真正规模化还存疑。
“Patch the Planet”这个名字起得挺狂的,仿佛要把整个地球的开源漏洞都修一遍。显然这不现实。但它至少释放了一个信号:AI公司开始认真对待开源安全这件事了,而且愿意出人出工具来做。对于每天靠开源软件跑着无数业务的世界来说,这总归是件好事。