OpenAI a declarat că personalul de securitate de la Trail of Bits va lucra direct cu întreținătorii de proiecte open-source pentru a analiza potențialele probleme de cod. Instrumentele de securitate ale OpenAI – precum Codex Security – vor fi folosite pentru a sprijini acest proces.
„Mulți întreținători sunt deja puși în situația de a sorta tot mai multe rapoarte, tot mai rapid, cu aceleași resurse limitate de timp și buget”, a spus OpenAI luni. „Patch the Planet este construit pentru a reduce această povară, nu pentru a o adăuga: inginerii de securitate analizează descoperirile înainte ca acestea să ajungă la întreținători, colaborează cu proiectele pentru a dezvolta patch-uri și teste, și construiesc fluxuri de lucru reutilizabile care ajută echipele să continue să îmbunătățească securitatea după ce primele remedieri sunt aplicate.”
Cu alte cuvinte, inginerii de la Trail of Bits vor funcționa mai mult sau mai puțin ca niște paramedici ai codului – acolo pentru a ajuta întreținătorii de proiecte open-source să identifice și să trieze potențialele probleme, toate susținute de software-ul OpenAI. Sună a un proiect ambițios, iar modul în care va funcționa pe termen lung sau cum intenționează să se extindă (dacă o va face) rămâne neclar.
Proiectele open-source sunt fundația digitală pe care se sprijină întreaga industrie software comercială, dar, din păcate, din cauza structurii descentralizate și slab monitorizate a acestui ecosistem, mare parte din software este nesigur. Bug-urile din proiectele open-source se pot transforma în probleme majore pentru bazele de cod comerciale. Debaclul log4j de acum câțiva ani – când o vulnerabilitate gravă a fost descoperită într-un utilitar open-source utilizat pe scară largă – este un exemplu elocvent.
O mare parte din îngrijorarea legată de instrumente precum Mythos (instrumentul de securitate intens mediatizat al Anthropic) pare să provină din faptul că AI poate acum să identifice automat bug-urile existente în bazele de cod și să creeze exploit-uri pentru ele. Deși automatizarea criminalității cibernetice nu este nouă, aceste instrumente au, fără îndoială, potențialul de a face viața mult mai ușoară pentru actorii rău intenționați.
OpenAI inversează această formulă, folosind AI pentru a ajuta comunitatea open-source să se protejeze mai bine. Este greu să nu citești această mișcare ca pe o înțepătură competitivă la adresa Anthropic, recunoscând în același timp că este ceva de care comunitatea open-source are o nevoie disperată.
De ce este important:
Inițiativa „Patch the Planet” a OpenAI marchează o schimbare semnificativă în modul în care inteligența artificială poate fi folosită pentru securitatea cibernetică. În loc să fie doar o unealtă pentru atacatori, AI devine un aliat al dezvoltatorilor open-source, care adesea lucrează voluntar și nu au resursele necesare pentru a-și securiza complet proiectele. Colaborarea cu Trail of Bits aduce expertiză umană de top, iar integrarea cu Codex Security automatizează o parte din muncă. Dacă inițiativa va reuși să se extindă, ar putea reduce semnificativ riscul unor viitoare vulnerabilități de tip log4j, protejând întregul ecosistem software. Este un pas curajos care ar putea redefini responsabilitatea companiilor tech față de comunitatea open-source.
