OpenAI объявила о программе «Починка Земли», предоставляющей помощь в области информационной безопасности 19 известным проектам с открытым исходным кодом, таким как cURL, Python, PyPI и другие

OpenAI 宣布「Patch the Planet」計畫，與資安公司 Trail of Bits 合作，首週即發現數百個安全漏洞、提交 64 個 pull requests、開立 51 個 issues，橫跨 cURL、Python、PyPI 等 19 個全球核心開源專案。
（前情提要：Getty Images 盤前噴 300%！與 OpenAI 簽約、授權版權照進駐 ChatGPT）
（背景補充：Anthropic 遭美國政府「封殺」撤下 Fable 模型，外媒指三大隱憂：恐助攻中國開源 AI）

本文目錄

Toggle

• cURL、Python、PyPI：為什麼是這些專案？
• log4j 的幽靈，與 AI 的新解法
• OpenAI 的公關和戰略定位

一九九五年，電影網路駭客《Hackers》的主角大喊「Hack the Planet」，是一個對抗企業控制網路的宣言。三十年後，OpenAI 把這句口號改成了「Patch the Planet」，同樣的押韻但卻是完全相反的方向。

cURL、Python、PyPI：為什麼是這些專案？

「Patch the Planet」的合作方包括資安公司 Trail of Bits、漏洞獎勵平台 HackerOne 以及 Calif。OpenAI 提供的工具有兩個：Codex Security，以及更新的 GPT-5.5-Cyber。

這次首波受惠的 19 個開源專案，清單本身就很能說明問題：cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 以及 python.org 等。這些不是小眾工具，它們是整個現代網際網路的基礎設施。cURL 被估計安裝在全球逾 200 億臺裝置上，Python 是全球使用最廣泛的程式語言之一…。

選這些目標，意味著 AI 找到的每一個漏洞，影響的可能不是幾百個使用者，而是幾億個系統。

OpenAI 提供給參與者的資源包括：ChatGPT Pro 存取、Codex Security 條件存取、API credits，以及一套完整的安全基礎設施 fuzzing harnesses（簡單來說就是讓程式自動餵隨機輸入、逼出潛藏 bug 的測試框架）、歷史 CVE 分析管線、差分測試系統、威脅模型，以及擴充測試套件。

log4j 的幽靈，與 AI 的新解法

2021 年 12 月，log4j 漏洞事件震動了整個科技業。Apache log4j 是 Java 生態系最廣泛使用的日誌工具之一，美國網路安全域性（CISA）稱之為「有史以來最嚴重的漏洞之一」。問題的根源不是技術太複雜，而是沒有人力去系統性地審計所有依賴它的專案。

開源生態的資安困境，本質上是一個人力問題：全球數十萬個開源套件，維護者往往只有一兩個人，幾乎不可能對所有程式碼進行完整的安全審計。漏洞往往在出現多年後才被發現，而發現者不一定是善意的白帽研究員。

這是「Patch the Planet」試圖切入的結構性問題。AI 的優勢不是找到一個天才級漏洞，而是以人力不可能維持的密度，持續掃描大量程式碼庫。GPT-5.5-Cyber 和 Codex Security 的定位，更接近「自動化資安審計員」，而不是「比人類更聰明的駭客」。

這個定位很重要：如果 AI 只是偶爾找到一個漏洞，那它是工具。如果它能以首週這個速度持續運作，它會開始改變整個開源生態的安全假設。

OpenAI 的公關和戰略定位

AI 資安工具的能力，和 AI 用於攻擊的能力，本質上是同一套技術。能找出漏洞的 GPT-5.5-Cyber，理論上也能被用來利用漏洞。OpenAI 選擇把這套能力包裝成「修補開源世界」，是一個主動的公關和戰略定位，它在說：「我們先使用這個能力做對的事，並且我們做得比任何人都快。」

老話一句：資安的護城河，從來不在於你有沒有掌握漏洞，而在於你能以多快的速度找到它們，然後在壞人用它們之前，先把洞補上。