OpenAI anuncia o plano "Consertar a Terra", oferecendo suporte de segurança para 19 projetos de código aberto conhecidos, incluindo cURL, Python, PyPI e outros

OpenAI 宣布「Patch the Planet」计划，与资安公司 Trail of Bits 合作，首周即发现数百个安全漏洞、提交 64 个 pull requests、开立 51 个 issues，横跨 cURL、Python、PyPI 等 19 个全球核心开源项目。
（前情提要：Getty Images 盘前喷 300%！与 OpenAI 签约、授权版权照进驻 ChatGPT）
（背景补充：Anthropic 遭美国政府「封杀」撤下 Fable 模型，外媒指三大隐忧：恐助攻中国开源 AI）

本文目录

切换

• cURL、Python、PyPI：为什么是这些项目？
• log4j 的幽灵，与 AI 的新解法
• OpenAI 的公关和战略定位

一九九五年，电影网络黑客《Hackers》的主角大喊「Hack the Planet」，是一个对抗企业控制网络的宣言。三十年后，OpenAI 把这句口号改成了「Patch the Planet」，同样的押韵但却是完全相反的方向。

cURL、Python、PyPI：为什么是这些项目？

「Patch the Planet」的合作方包括资安公司 Trail of Bits、漏洞奖励平台 HackerOne 以及 Calif。OpenAI 提供的工具有两个：Codex Security，以及更新的 GPT-5.5-Cyber。

这次首波受惠的 19 个开源项目，清单本身就很能说明问题：cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 以及 python.org 等。这些不是小众工具，它们是整个现代互联网的基础设施。cURL 被估计安装在全球逾 200 亿台装置上，Python 是全球使用最广泛的编程语言之一…。

选这些目标，意味着 AI 找到的每一个漏洞，影响的可能不是几百个用户，而是数亿个系统。

OpenAI 提供给参与者的资源包括：ChatGPT Pro 访问、Codex Security 条件访问、API credits，以及一套完整的安全基础设施 fuzzing harnesses（简单来说就是让程序自动喂入随机输入、逼出潜藏 bug 的测试框架）、历史 CVE 分析管线、差分测试系统、威胁模型，以及扩充测试套件。

log4j 的幽灵，与 AI 的新解法

2021 年 12 月，log4j 漏洞事件震动了整个科技业。Apache log4j 是 Java 生态系最广泛使用的日志工具之一，美国网络安全域性（CISA）称之为「有史以来最严重的漏洞之一」。问题的根源不是技术太复杂，而是没有人力去系统性地审计所有依赖它的项目。

开源生态的资安困境，本质上是一个人力问题：全球数十万个开源套件，维护者往往只有一两个，几乎不可能对所有代码进行完整的安全审计。漏洞往往在出现多年后才被发现，而发现者不一定是善意的白帽研究员。

这就是「Patch the Planet」试图切入的结构性问题。AI 的优势不是找到一个天才级漏洞，而是以人力不可能维持的密度，持续扫描大量代码库。GPT-5.5-Cyber 和 Codex Security 的定位，更接近「自动化资安审计员」，而不是「比人类更聪明的黑客」。

这个定位很重要：如果 AI 只是偶尔找到一个漏洞，那它是工具。如果它能以首周这个速度持续运作，它会开始改变整个开源生态的安全假设。

OpenAI 的公关和战略定位

AI 资安工具的能力，和 AI 用于攻击的能力，本质上是同一套技术。能找出漏洞的 GPT-5.5-Cyber，理论上也能被用来利用漏洞。OpenAI 选择把这套能力包装成「修补开源世界」，是一个主动的公关和战略定位，它在说：「我们先使用这个能力做对的事，并且我们做得比任何人都快。」

老话一句：资安的护城河，从来不在于你有没有掌握漏洞，而在于你能多快的速度找到它们，然后在坏人用它们之前，先把洞补上。