Инициатива Patch the Planet от OpenAI: защита открытого и...

OpenAI анонсировала запуск проекта Patch the Planet в рамках своей исследовательской инициативы Daybreak. Главная задача программы — помочь создателям и кураторам открытого программного обеспечения (open-source) укреплять безопасность систем, от которых зависит глобальная цифровая инфраструктура. Для этого компания объединила возможности своих передовых искусственных интеллектов с опытом профессиональных исследователей безопасности.

Исторически сложилось так, что автоматизация поиска уязвимостей создает дополнительную нагрузку на команды разработчиков. Искусственный интеллект значительно ускоряет процесс обнаружения ошибок, но сама по себе находка не защищает пользователей. Разработчики вынуждены тратить ограниченное время на разбор огромного количества отчетов, многие из которых оказываются ложными срабатываниями. Проект Patch the Planet создан для того, чтобы снизить эту нагрузку, предоставляя не только информацию об уязвимости, но и проверенное решение.

Diagram titled “Historical CVE-Driven variant discovery and validation” showing a left-to-right workflow. A historical CVE feed is processed by an orchestrator into artifacts, then fanned out to Codex per issue. Each issue passes through an issue gate, two false-positive judge checks, duplicate checks, and a final reporting gate. Outcomes include skip/no variant, reject as false positive or duplicate, or report a valid non-duplicate finding.

В реализации проекта участвуют такие компании, как Trail of Bits, HackerOne и Calif. Инженеры используют специализированные модели GPT-5.5-Cyber и Codex Security. Искусственный интеллект помогает анализировать код, разрабатывать исправления, проводить тестирование и составлять документацию. За короткий срок система позволила создать лабораторию фаззинга (fuzzing lab) менее чем за день, хотя обычно на ручную настройку уходят недели.

Кроме того, команды разработали конвейер для поиска вариантов известных уязвимостей на основе исторических данных. Система извлекает паттерны старых ошибок и ищет похожие недочеты в целевом коде. Также ИИ помог внедрить дифференциальное тестирование (differential testing) за считанные дни. Написание связующего кода для проверки того, как разные реализации одного протокола реагируют на одинаковые вводные данные, обычно занимает месяцы.

Expanding Daybreak Art Card

Результаты первых проверок наглядно демонстрируют потенциал подхода. В ядре Linux модели выявили проблемные компоненты и сгенерировали 24 эксплойта для локального повышения привилегий. В операционной системе OpenBSD была обнаружена уязвимость 23-летней давности, связанная с использованием памяти после ее освобождения (use-after-free). Также были найдены критические ошибки в сетевых протоколах, браузере Chrome и реализации инфраструктуры HTTP/2.

Ключевым фактором успеха инициативы является обязательная проверка всех находок человеком. Специалисты по кибербезопасности из Trail of Bits вручную анализируют каждое сообщение об ошибке до того, как оно попадет к разработчикам проекта. Это решает главную проблему применения больших языковых моделей (LLM) в безопасности — высокое количество ложных срабатываний. Эксперты воспроизводят ошибки, удаляют дубликаты, корректируют уровень угрозы и пишут качественные патчи.

На начальном этапе в программе участвуют такие фундаментальные проекты, как cURL, Python, Sigstore и язык программирования Go. Улучшение их безопасности позитивно скажется на миллионах зависимых продуктов по всему миру. В будущем подобный гибридный подход, где ИИ выполняет масштабный поиск и генерацию тестов, а человек осуществляет строгую верификацию, имеет все шансы стать стандартом в индустрии кибербезопасности.