资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
OpenAI 启动“修补星球”计划,助力开源软件安全
OpenAI 于本周一宣布了一项新计划,旨在加强整个开源软件生态系统的网络安全。这项名为“修补星球”(Patch the Planet)的举措——致敬了 1995 年电影《黑客》中的经典台词“黑掉星球”(Hack the Planet)——由 OpenAI 与知名安全公司 Trail of Bits 合作,帮助开源项目维护者识别并修复代码中的漏洞。
“修补星球”如何运作
在该计划下,Trail of Bits 的安全工程师将直接与开源项目维护者合作,审查代码以发现潜在问题。OpenAI 自身的安全工具(包括 Codex Security)将协助审查过程。其目标是减轻维护者的负担,他们往往面临越来越多的漏洞报告,但时间和资源却十分有限。
OpenAI 在公告中表示:“许多维护者已经被要求在相同有限的时间和资源下,更快地处理更多报告。‘修补星球’旨在减轻这种负担,而不是增加负担:安全工程师在报告到达维护者之前就进行审查,与项目合作开发补丁和测试,并构建可重复使用的工作流程,帮助团队在完成初步修复后持续改进安全性。”
在实际操作中,Trail of Bits 的工程师将扮演代码应急响应者的角色——对潜在问题进行分类并开发补丁,这些工作均由 OpenAI 的 AI 工具提供支持。该计划的长期可扩展性尚不明确,其初始阶段之后的运营模式也未公布。
为什么开源安全很重要
开源软件构成了商业软件行业的基础,但其去中心化且资源往往不足的结构使其容易受到安全漏洞的影响。一个广泛使用的开源库中的单个漏洞,可能连锁引发无数商业产品中的重大安全事件。
2021 年发现的 Log4j 漏洞就是一个鲜明的例子。这个存在于一个广泛使用的 Java 日志库中的缺陷,使数百万系统暴露于远程代码执行攻击之下,并引发了全球软件供应链的紧急补丁修复。此类事件凸显了在开源项目中采取主动安全措施的迫切需求。
AI 在网络安全中的双重角色
该计划的发布正值人们对 AI 可能实现网络攻击自动化的担忧日益加剧。像 Anthropic 的 Mythos 这样备受关注的安全工具,引发了关于 AI 是否可能帮助攻击者更有效地识别和利用漏洞的疑问。虽然自动化网络犯罪并非新鲜事,但这些工具降低了恶意行为者的门槛。
OpenAI 的举措通过将 AI 用于防御,扭转了这一局面——帮助开源社区保护自己,而非使其面临更大风险。此举也使 OpenAI 与 Anthropic 等竞争对手形成鲜明对比,后者更侧重于红队测试和攻击性安全研究。
对开源社区的影响
对于开源维护者来说,该计划可能提供急需的专业安全知识,而这些知识通常是志愿者运营的项目难以企及的。通过将人工审查与 AI 辅助分析相结合,“修补星球”旨在提供全面、可操作的修复方案,而不会让维护者不堪重负。
然而,该计划如何扩展到覆盖大量需要关注的开源项目,仍存在疑问。OpenAI 和 Trail of Bits 尚未披露具体的项目选择标准或长期资金计划。该计划的成功很可能取决于其能否在代码安全方面展示出可衡量的改进,同时避免产生新的依赖关系或瓶颈。
结论
OpenAI 的“修补星球”计划代表了解决开源软件中持续存在的安全挑战的重要一步。通过将 AI 工具与专业人工审查相结合,该计划旨在帮助维护者走在漏洞前面。虽然其长期影响仍有待观察,但该计划表明,人们越来越认识到 AI 可以在网络安全中发挥建设性作用——不仅是潜在的威胁,而且是一种实用的防御工具。
常见问题解答
Q1: 什么是“修补星球”?
“修补星球”是 OpenAI 与 Trail of Bits 合作的一项计划,为开源软件维护者提供专业安全工程师和 AI 工具,帮助他们发现并修复代码漏洞。
Q2: Trail of Bits 如何参与?
Trail of Bits 的安全工程师直接与开源项目维护者合作,审查代码、分类潜在问题、开发补丁并创建可重复使用的安全工作流程。OpenAI 的 Codex Security 工具在此过程中提供协助。
Q3: 为什么开源安全令人担忧?
开源软件广泛应用于商业产品中,但通常由资源有限的志愿者维护。一个流行开源库中的单个漏洞可能使数百万系统面临攻击风险,正如 Log4j 事件所示。
Q4: 这项计划与 AI 和网络安全有何关联?
虽然攻击者可以利用 AI 工具实现漏洞自动发现,但“修补星球”将 AI 用于防御,帮助维护者在漏洞被利用之前识别并修补它们。这代表了 AI 驱动网络安全的一种主动方法。
