OpenAI công bố kế hoạch "Sửa chữa Trái đất", cung cấp hỗ trợ an ninh mạng cho 19 dự án mã nguồn mở nổi tiếng như cURL, Python, PyPI và các dự án khác

OpenAI 宣布「Patch the Planet」計畫，與資安公司 Trail of Bits 合作，首週即發現數百個安全漏洞、提交 64 個 pull requests、開立 51 個 issues，橫跨 cURL、Python、PyPI 等 19 個全球核心開源專案。
（前情提要：Getty Images 盤前噴 300%！與 OpenAI 簽約、授權版權照進駐 ChatGPT）
（背景補充：Anthropic 遭美國政府「封殺」撤下 Fable 模型，外媒指三大隱憂：恐助攻中國開源 AI）

本文目錄

Toggle

• cURL、Python、PyPI：為什麼是這些專案？
• log4j 的幽靈，與 AI 的新解法
• OpenAI 的公關和戰略定位

一九九五年，電影網路駭客《Hackers》的主角大喊「Hack the Planet」，是一個對抗企業控制網路的宣言。三十年後，OpenAI 把這句口號改成了「Patch the Planet」，同樣的押韻但卻是完全相反的方向。

cURL、Python、PyPI：為什麼是這些專案？

「Patch the Planet」的合作方包括資安公司 Trail of Bits、漏洞獎勵平台 HackerOne 以及 Calif。OpenAI 提供的工具有兩個：Codex Security，以及更新的 GPT-5.5-Cyber。

這次首波受惠的 19 個開源專案，清單本身就很能說明問題：cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 以及 python.org 等。這些不是小眾工具，它們是整個現代網際網路的基礎設施。cURL 被估計安裝在全球逾 200 億臺裝置上，Python 是全球使用最廣泛的程式語言之一…。

選這些目標，意味著 AI 找到的每一個漏洞，影響的可能不是幾百個使用者，而是幾億個系統。

OpenAI 提供給參與者的資源包括：ChatGPT Pro 存取、Codex Security 條件存取、API credits，以及一套完整的安全基礎設施 fuzzing harnesses（簡單來說就是讓程式自動餵隨機輸入、逼出潛藏 bug 的測試框架）、歷史 CVE 分析管線、差分測試系統、威脅模型，以及擴充測試套件。

log4j 的幽靈，與 AI 的新解法

2021 年 12 月，log4j 漏洞事件震動了整個科技業。Apache log4j 是 Java 生態系最廣泛使用的日誌工具之一，美國網路安全域性（CISA）稱之為「有史以來最嚴重的漏洞之一」。問題的根源不是技術太複雜，而是沒有人力去系統性地審計所有依賴它的專案。

開源生態的資安困境，本質上是一個人力問題：全球數十萬個開源套件，維護者往往只有一兩個人，幾乎不可能對所有程式碼進行完整的安全審計。漏洞往往在出現多年後才被發現，而發現者不一定是善意的白帽研究員。

這是「Patch the Planet」試圖切入的結構性問題。AI 的優勢不是找到一個天才級漏洞，而是以人力不可能維持的密度，持續掃描大量程式碼庫。GPT-5.5-Cyber 和 Codex Security 的定位，更接近「自動化資安審計員」，而不是「比人類更聰明的駭客」。

這個定位很重要：如果 AI 只是偶爾找到一個漏洞，那它是工具。如果它能以首週這個速度持續運作，它會開始改變整個開源生態的安全假設。

OpenAI 的公關和戰略定位

AI 資安工具的能力，和 AI 用於攻擊的能力，本質上是同一套技術。能找出漏洞的 GPT-5.5-Cyber，理論上也能被用來利用漏洞。OpenAI 選擇把這套能力包裝成「修補開源世界」，是一個主動的公關和戰略定位，它在說：「我們先使用這個能力做對的事，並且我們做得比任何人都快。」

老話一句：資安的護城河，從來不在於你有沒有掌握漏洞，而在於你能以多快的速度找到它們，然後在壞人用它們之前，先把洞補上。