أعلنت OpenAI عن خطة "تصحيح الأرض"، لتقديم المساعدة الأمنية لـ 19 مشروعًا مفتوح المصدر معروفًا مثل cURL و Python و PyPI

أعلنت OpenAI عن خطة "Patch the Planet"، بالتعاون مع شركة الأمن السيبراني Trail of Bits، حيث اكتشفت في الأسبوع الأول مئات الثغرات الأمنية، وقدمّت 64 طلب سحب، وفتحت 51 قضية، عبر 19 مشروعًا مفتوح المصدر عالميًا، بما في ذلك cURL وPython وPyPI وغيرها.
(ملخص سابق: Getty Images تتفجر بنسبة 300% قبل التداول! توقيع عقد مع OpenAI، وترخيص حقوق الصور لدخول ChatGPT)
(معلومات إضافية: تم سحب نموذج Fable من قبل الحكومة الأمريكية بعد أن تعرضت شركة Anthropic للحظر، وتشير وسائل الإعلام إلى ثلاثة مخاوف رئيسية: احتمال مساعدة الصين في تطوير الذكاء الاصطناعي مفتوح المصدر)

فهرس المقال

تبديل

• cURL وPython وPyPI: لماذا هذه المشاريع؟
• شبح log4j، وحلول جديدة للذكاء الاصطناعي
• العلاقات العامة والاستراتيجية التوجيهية لـ OpenAI

في عام 1995، صرخ بطل فيلم هاكرز "Hackers" قائلاً "Hack the Planet"، وهو إعلان لمقاومة سيطرة الشركات على الشبكة. بعد ثلاثين عامًا، غيرت OpenAI هذه العبارة إلى "Patch the Planet"، مع الحفاظ على القافية، ولكنها تتجه في اتجاه معاكس تمامًا.

cURL وPython وPyPI: لماذا هذه المشاريع؟

شركاء التعاون في "Patch the Planet" يشملون شركة الأمن السيبراني Trail of Bits، ومنصة مكافأة الثغرات HackerOne، وCalif. تقدم OpenAI أداتين: Codex Security، وGPT-5.5-Cyber المحدث.

أما المشاريع المفتوحة المصدر التي استفادت من هذه المبادرة في الموجة الأولى فهي قائمة ذات دلالة كبيرة: cURL، Python، PyPI، urllib3، aiohttp، مشروع Go، freenginx، NATS، pyca، Sigstore، SimpleX، Valkey، RustCrypto، وpython.org وغيرها. هذه ليست أدوات غير معروفة، بل هي البنية التحتية الأساسية للإنترنت الحديث. يُقدر أن cURL مُثبت على أكثر من 20 مليار جهاز حول العالم، وPython من أكثر لغات البرمجة استخدامًا عالميًا…

اختيار هذه الأهداف يعني أن كل ثغرة يجدها الذكاء الاصطناعي قد تؤثر على مئات المستخدمين أو مليارات الأنظمة.

توفر OpenAI للمشاركين الموارد التالية: وصول إلى ChatGPT Pro، وصول مشروط إلى Codex Security، أرصدة API، ونظام أمان كامل يتضمن أدوات اختبار التطفل العشوائي (fuzzing harnesses) — ببساطة، إطار عمل يختبر البرامج عن طريق إدخال بيانات عشوائية لاكتشاف الثغرات، بالإضافة إلى خطوط أنابيب تحليل CVE التاريخية، ونظام اختبار الفروق، ونموذج التهديدات، ومجموعة أدوات اختبار موسعة.

شبح log4j، وحلول جديدة للذكاء الاصطناعي

في ديسمبر 2021، هزت ثغرة log4j صناعة التكنولوجيا بأكملها. يُعد Apache log4j أحد أكثر أدوات تسجيل السجلات استخدامًا في بيئة جافا، ووصفته الوكالة الأمريكية للأمن السيبراني (CISA) بأنه "واحد من أخطر الثغرات على الإطلاق". المشكلة ليست في تعقيد التقنية، بل في نقص الموارد البشرية لمراجعة جميع المشاريع التي تعتمد عليه بشكل منهجي.

الأزمة الأمنية في بيئة المصادر المفتوحة تتعلق بشكل أساسي بمسألة الموارد البشرية: هناك مئات الآلاف من حزم البرمجيات المفتوحة المصدر، وغالبًا ما يكون للمُحافظين عليها شخص أو شخصين فقط، مما يجعل من المستحيل إجراء مراجعة أمنية كاملة لكل الشيفرات. غالبًا ما تُكتشف الثغرات بعد سنوات من ظهورها، وليس بالضرورة أن يكون مكتشفها نية حسنة.

هذه مشكلة هيكلية تحاول "Patch the Planet" معالجتها. قوة الذكاء الاصطناعي ليست في اكتشاف ثغرة عبقرية، بل في قدرته على مسح كميات هائلة من الشيفرات بشكل مستمر، بمعدل لا يمكن للبشر تحقيقه. تحديد GPT-5.5-Cyber وCodex Security يقترب أكثر من أن يكون "مراجِع أمني آلي"، وليس "هاكر أذكى من البشر".

هذه النقطة مهمة جدًا: إذا كان الذكاء الاصطناعي يكتشف ثغرة بشكل عشوائي بين الحين والآخر، فهو أداة. أما إذا استطاع أن يعمل بمعدل الأسبوع الأول، فسيبدأ في تغيير افتراضات الأمان في بيئة المصادر المفتوحة.

العلاقات العامة والاستراتيجية التوجيهية لـ OpenAI

قدرة أدوات الأمن السيبراني المعتمدة على الذكاء الاصطناعي، وقدرة الذكاء الاصطناعي على الهجوم، تعتمد على نفس التقنية الأساسية. النموذج GPT-5.5-Cyber الذي يمكنه اكتشاف الثغرات يمكن أيضًا أن يُستخدم لاستغلالها. اختيار OpenAI أن تُعبّر عن هذه القدرة على أنها "تصليح العالم المفتوح" هو توجيه استراتيجي وإعلاني نشط، حيث تقول: "نستخدم هذه القدرة للقيام بالأشياء الصحيحة، ونحن أسرع من أي شخص آخر".

مقولة قديمة: درع الأمن السيبراني لا يكمن في امتلاك الثغرات، بل في مدى سرعتك في اكتشافها، ثم سد الثغرة قبل أن يستخدمها الأشرار.