OpenAI у понеділок оголосила про нову ініціативу, спрямовану на допомогу спільноті open source в підвищенні рівня кібербезпеки та боротьбі з багами.
Програма Patch the Planet (прозорий натяк на «Hack the Planet» — культову фразу з фільму 1995 року «Хакери») передбачає співпрацю OpenAI з компанією з кібербезпеки Trail of Bits для допомоги мейнтейнерам відкритих проєктів у захисті їхнього коду.
За словами OpenAI, фахівці з безпеки Trail of Bits працюватимуть безпосередньо з мейнтейнерами open source, щоб переглядати потенційні проблеми в коді. У процесі будуть задіяні інструменти безпеки OpenAI — зокрема Codex Security.
«Багатьох мейнтейнерів уже просять опрацьовувати більше звітів, швидше, маючи ті самі обмежені час і ресурси, — заявили в OpenAI у понеділок. — Patch the Planet створено, щоб зменшити це навантаження, а не посилити його: інженери з безпеки перевіряють знахідки до того, як вони потрапляють до мейнтейнерів, працюють з проєктами над розробкою патчів і тестів, а також створюють повторно використовувані робочі процеси, які допомагають командам і надалі підвищувати рівень безпеки після перших виправлень».
Іншими словами, інженери Trail of Bits виконуватимуть роль своєрідних «швидких допомог» для коду — допомагатимуть мейнтейнерам відкритих проєктів виявляти та пріоритизувати потенційні проблеми, спираючись на ПЗ від OpenAI. Ініціатива виглядає амбітною, але поки що не зовсім зрозуміло, як вона працюватиме в довгостроковій перспективі та чи вдасться масштабувати її (і якщо так, то як саме).
Open source-проєкти є цифровим фундаментом, на якому тримається індустрія комерційного ПЗ. Водночас через децентралізовану та слабо контрольовану структуру цієї екосистеми значна частина такого ПЗ лишається вразливою. Баги в open source-проєктах можуть переростати у великі проблеми для комерційних кодових баз. Прикладом є історія з log4j кількарічної давнини, коли серйозна вразливість була виявлена в широко використовуваній утиліті з відкритим кодом.
Чимало занепокоєнь довкола інструментів на кшталт Mythos (розрекламований засіб безпеки від Anthropic) пов’язано з тим, що ШІ тепер може автоматично виявляти наявні баги в коді й створювати експлойти для їх використання. Автоматизація кіберзлочинів не є новим явищем, але такі інструменти безперечно можуть зробити діяльність зловмисників значно зручнішою.
OpenAI намагається перевернути цю логіку, застосовуючи ШІ для допомоги спільноті open source краще захищати себе. Це важко не сприймати як конкурентний випад у бік Anthropic, але водночас очевидно, що таким інструментам open source-спільнота гостро потребує.