网易首页 > 网易号 > 正文 申请入驻

OpenAI携手Trail of Bits发起"Patch the Planet"开源安全修复计划

0
分享至


OpenAI宣布与网络安全公司Trail of Bits合作,推出一项名为"Patch the Planet"的计划,旨在利用AI发现并修复广泛使用的开源软件中的安全漏洞。此举背景是企业面临软件供应链深层漏洞带来的日益严峻的安全威胁。

该计划将AI辅助漏洞研究与人工审查相结合,帮助将安全发现转化为经过测试的补丁,并通过各项目现有渠道进行披露。

首批参与项目包括Python、Go、cURL、Sigstore、NATS Server、aiohttp、freenginx、pyca/cryptography以及python.org,这些项目广泛支撑着各类企业应用和服务中的软件开发、网络通信、加密技术及供应链基础设施。

OpenAI表示,每次参与都将首先与项目维护者协商,明确最需要安全支持的领域。研究人员随后将排查潜在漏洞、验证有效问题、开发或完善补丁、支持测试,并通过项目现有渠道协调披露流程。

参与计划的安全研究人员将使用OpenAI旗下模型及Codex Security分析代码,推动修复方案走向落地。Trail of Bits的工程师将在结果提交给维护者之前进行审查,以过滤误报和重复报告,避免给开源项目带来额外负担。

OpenAI还与HackerOne及Calif合作,随着计划扩展,为漏洞分类、协调披露及额外发现工作提供支持。

OpenAI表示,该计划已识别出"数百个安全问题,并合并了数十个补丁,更多补丁仍在协调披露流程中"。此外,该计划还产出了用于模糊测试、历史CVE分析和差异测试的工具,以及在生成补丁前过滤误报的系统。

聚焦开源安全的背景,是Log4Shell和XZ Utils后门等事件的深刻教训——这些案例揭示了共享组件中的漏洞如何迅速蔓延至企业软件中。

分析师指出,"Patch the Planet"只有在企业将AI辅助漏洞研究视为更广泛软件供应链风险管理计划的输入,而非替代品时,才能真正改变风险格局。

Forrester首席分析师Biswajeet Mahapatra表示:"关键转变在于速度:AI辅助研究可以更快地发现、验证、修补、测试和记录问题,而人工审查员则在维护者承压之前降低误报率。但对稀缺专业知识的依赖并不会消失,它只是转移到了分类、可利用性判断、补丁安全性、披露时机和生产部署等环节。"

开源网络安全架构师Devashri Datta建议,CISO应在将AI辅助漏洞研究应用于企业安全流程之前建立治理控制,以防止未经验证的发现压垮工程团队。

"CISO应在风险建模中引入'安全相关性层'——一个结构化框架,要求每项AI生成的发现在到达人工分析师之前,须通过自动验证,包括动态概念验证和严格的误报过滤。"Datta说。

Datta还指出,这些控制措施还应涵盖披露环节,尤其是当AI工具在企业无法控制的第三方开源组件中发现漏洞时。组织需要预先定义好升级路径、通知时间表及角色分工,一旦在外部依赖中发现确认问题即可立即启动。

"在AI加速的环境下,临时性披露不仅是流程缺口,更是法律责任,"Datta说,"在生产流程中信任AI,需要可验证的可审计性:组织必须能够追溯AI标记某行代码的原因、验证漏洞利用的方式,以及确认补丁不会破坏下游生产系统的依据。"

分析师认为,AI辅助漏洞研究可能推动企业从周期性补丁管理转向更持续的风险评估。如果变体分析和差异测试能够从数周压缩至数天,安全团队将需要更快速的方式来判断哪些发现在自身环境中最为关键。

Datta表示,这一转变也意味着企业不能再仅凭通用CVSS评分来确定修复优先级。发现的问题需要结合受影响系统、其业务角色、运行时暴露程度以及漏洞被利用的可能性进行综合评估。

"我们必须迈向基于上下文的、安全关键型优先级排序,"Datta说,"企业的SBOM与VEX项目必须从被动的合规表格演进为实时、机器可读的数据流。对于AI辅助流程而言,这意味着需要将VEX模型扩展以覆盖AI引入的新风险面。"

Mahapatra则表示,漏洞管理项目也需要与软件所有权、供应商响应和业务影响更紧密地结合。

"安全团队应从周期性漏洞处理转向持续暴露缩减,"Mahapatra说。

这意味着,软件物料清单(SBOM)应被视为与运行时暴露和供应商响应挂钩的实时资产清单,而非静态合规文件。补丁决策也应综合考量资产重要性、可利用性、补偿控制措施及业务影响。

Q&A

Q1:Patch the Planet计划是什么?主要解决什么问题?

A:Patch the Planet是OpenAI与网络安全公司Trail of Bits联合发起的开源软件安全修复计划,旨在利用AI辅助漏洞研究,帮助发现并修复广泛使用的开源项目中的安全漏洞。该计划将AI分析与人工审查相结合,过滤误报后再提交给项目维护者,目前已识别数百个安全问题并合并了数十个补丁。

Q2:Patch the Planet目前覆盖哪些开源项目?

A:首批参与项目包括Python、Go、cURL、Sigstore、NATS Server、aiohttp、freenginx、pyca/cryptography以及python.org,涵盖软件开发、网络通信、加密技术及供应链基础设施等多个领域,广泛支撑企业级应用和服务。

Q3:企业在使用AI辅助漏洞研究时需要注意哪些风险?

A:分析师建议企业将AI辅助漏洞研究视为供应链风险管理的辅助工具,而非替代方案。CISO需建立治理控制机制,确保AI发现经过自动验证和误报过滤后再到达人工分析师;同时需预设披露流程、升级路径和角色分工,并保证AI决策全程可审计,避免临时性处置带来法律责任。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
美国和伊朗猝不及防!打完仗发现,沙特千亿资本疯狂投往中国!

美国和伊朗猝不及防!打完仗发现,沙特千亿资本疯狂投往中国!

飘逸语人
2026-07-04 14:24:35
4日上午大满贯:男单8强诞生,张本智和0-3被横扫,男单格局大变

4日上午大满贯:男单8强诞生,张本智和0-3被横扫,男单格局大变

阿讯说天下
2026-07-04 11:44:29
三部门官宣 2027 年起恢复对 4 类车辆征车船税,如何解读?

三部门官宣 2027 年起恢复对 4 类车辆征车船税,如何解读?

贵重物品爱美食
2026-07-05 00:03:13
桂林电子科技大学顶着双非帽子,凭什么能把大批毕业生直接送进深圳南山区的写字楼

桂林电子科技大学顶着双非帽子,凭什么能把大批毕业生直接送进深圳南山区的写字楼

金哥说新能源车
2026-07-04 09:51:19
西安赛格以125亿年销售额位列全国第11名!网友:厦门sm不及一半

西安赛格以125亿年销售额位列全国第11名!网友:厦门sm不及一半

火山詩话
2026-07-04 10:46:41
每周往返13小时,这位上海专家连续两年坚持周末回乡坐诊

每周往返13小时,这位上海专家连续两年坚持周末回乡坐诊

上观新闻
2026-07-04 13:44:16
签下了!4年5600万!A级操作啊!

签下了!4年5600万!A级操作啊!

左右为篮
2026-07-05 00:37:56
宝马Q2美国卖爆:停产的Z4翻倍,3系狂飙56.8%

宝马Q2美国卖爆:停产的Z4翻倍,3系狂飙56.8%

赛场速报局
2026-07-04 00:56:10
霉霉和超模闺蜜:从烤饼干到陌路,再到婚礼同框

霉霉和超模闺蜜:从烤饼干到陌路,再到婚礼同框

娱圈观察员
2026-07-05 00:28:56
普京这步棋走得太精了,派梅德韦杰夫去伊朗,美国才反应过来晚了

普京这步棋走得太精了,派梅德韦杰夫去伊朗,美国才反应过来晚了

奇思妙想生活家
2026-07-04 13:04:56
王力宏演唱会突发!他意外摔倒,脸上耳朵上全是血,爬起来继续唱……网友:耳骨断裂,要缝针了

王力宏演唱会突发!他意外摔倒,脸上耳朵上全是血,爬起来继续唱……网友:耳骨断裂,要缝针了

都市快报橙柿互动
2026-07-04 20:57:49
风水轮流转!中国网友集体反对欧洲吹空调,奥巴马回旋镖砸中西方

风水轮流转!中国网友集体反对欧洲吹空调,奥巴马回旋镖砸中西方

丁丁鲤史纪
2026-07-04 17:44:46
改革、重组,中国央国企马上要迎来一场大洗牌?

改革、重组,中国央国企马上要迎来一场大洗牌?

时尚的弄潮
2026-06-28 12:01:37
演员保剑锋方声明:自愿离婚

演员保剑锋方声明:自愿离婚

鲁中晨报
2026-07-03 11:22:08
财政部回复:搭乘他人顺风车或者自驾车(费用由出差人自己承担)前往,市内交通补助该如何报销?

财政部回复:搭乘他人顺风车或者自驾车(费用由出差人自己承担)前往,市内交通补助该如何报销?

新理财杂志
2026-07-03 19:20:21
陌生号码一律不接,中国社会正在支付一笔隐形信任税

陌生号码一律不接,中国社会正在支付一笔隐形信任税

小陆搞笑日常
2026-06-25 11:30:41
GDP会骗人,个税不会:谁才是中国真正的高薪之城

GDP会骗人,个税不会:谁才是中国真正的高薪之城

互联网大观
2026-07-02 08:52:16
测量319位中国女性外阴,他们发表全球首例研究

测量319位中国女性外阴,他们发表全球首例研究

医学界妇产科频道
2026-06-27 19:51:42
日本「撞人族」大阪街头嚣张,被韩国壮汉铁拳教育,秒变缩头乌龟……

日本「撞人族」大阪街头嚣张,被韩国壮汉铁拳教育,秒变缩头乌龟……

日本物语
2026-07-03 23:49:05
以色列宣布:打死穆罕默德·纳伊姆·詹迪亚

以色列宣布:打死穆罕默德·纳伊姆·詹迪亚

每日经济新闻
2026-07-03 17:46:37
2026-07-05 01:11:00
至顶科技 incentive-icons
至顶科技
科技产业媒体与 AI 产业服务机构
19861文章数 49713关注度
往期回顾 全部

科技要闻

韬定律论文V2版,充工程细节和实测数据

头条要闻

老人被一次拔12颗牙种10颗:能刷的钱都刷走 只剩30块

头条要闻

老人被一次拔12颗牙种10颗:能刷的钱都刷走 只剩30块

体育要闻

揭法国锋线最大优势 有人比姆巴佩还快?

娱乐要闻

白鹿打戏抠图惹非议 连累丞磊遭扒皮

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

艺术
房产
家居
亲子
军事航空

艺术要闻

为什么时尚圈集体“失语”?只因这个男人的镜头,太敢拍了!

房产要闻

总裁空缺17个月、现金缺口超1000亿:金融局“局外人”入局万科

家居要闻

传奇筑 日常诗

亲子要闻

爷爷给一个月宝宝的科普小课堂:怎么预防近视?

军事要闻

普京宣布俄军“完全解放”卢甘斯克

无障碍浏览 进入关怀版