OpenAI 宣布「修补地球」计划，为 cURL、Python、PyPI 等 19 个知名开源项目提供资安协助

OpenAI 宣布「Patch the Planet」计畫，与资安公司 Trail of Bits 合作，首週即发现數百个安全漏洞、提交 64 个 pull requests、开立 51 个 issues，橫跨 cURL、Python、PyPI 等 19 个全球核心开源專案。
（前情提要：Getty Images 盤前噴 300%！与 OpenAI 簽约、授權版權照进駐 ChatGPT）
（背景補充：Anthropic 遭美国政府「封殺」撤下 Fable 模型，外媒指三大隐憂：恐助攻中国开源 AI）

本文目錄

Toggle

• cURL、Python、PyPI：为什麼是这些專案？
• log4j 的幽靈，与 AI 的新解法
• OpenAI 的公关和戰略定位

一九九五年，电影網路駭客《Hackers》的主角大喊「Hack the Planet」，是一个对抗企业控制網路的宣言。三十年后，OpenAI 把这句口號改成了「Patch the Planet」，同樣的押韻但卻是完全相反的方向。

cURL、Python、PyPI：为什麼是这些專案？

「Patch the Planet」的合作方包括资安公司 Trail of Bits、漏洞獎勵平台 HackerOne 以及 Calif。OpenAI 提供的工具有两个：Codex Security，以及更新的 GPT-5.5-Cyber。

这次首波受惠的 19 个开源專案，清單本身就很能说明问題：cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 以及 python.org 等。这些不是小眾工具，它們是整个现代網际網路的基礎设施。cURL 被估计安裝在全球逾 200 亿臺裝置上，Python 是全球使用最廣泛的程式语言之一…。

选这些目標，意味著 AI 找到的每一个漏洞，影響的可能不是幾百个使用者，而是幾亿个系统。

OpenAI 提供給參与者的资源包括：ChatGPT Pro 存取、Codex Security 條件存取、API credits，以及一套完整的安全基礎设施 fuzzing harnesses（簡單来说就是让程式自动餵随机输入、逼出潛藏 bug 的測試框架）、歷史 CVE 分析管線、差分測試系统、威脅模型，以及擴充測試套件。

log4j 的幽靈，与 AI 的新解法

2021 年 12 月，log4j 漏洞事件震动了整个科技业。Apache log4j 是 Java 生態系最廣泛使用的日誌工具之一，美国網路安全域性（CISA）稱之为「有史以来最嚴重的漏洞之一」。问題的根源不是技術太複雜，而是沒有人力去系统性地審计所有依賴它的專案。

开源生態的资安困境，本质上是一个人力问題：全球數十万个开源套件，維護者往往只有一两个人，幾乎不可能对所有程式碼进行完整的安全審计。漏洞往往在出现多年后才被发现，而发现者不一定是善意的白帽研究員。

这是「Patch the Planet」試圖切入的結構性问題。AI 的優勢不是找到一个天才級漏洞，而是以人力不可能維持的密度，持续掃描大量程式碼庫。GPT-5.5-Cyber 和 Codex Security 的定位，更接近「自动化资安審计員」，而不是「比人類更聰明的駭客」。

这个定位很重要：如果 AI 只是偶爾找到一个漏洞，那它是工具。如果它能以首週这个速度持续运作，它会开始改變整个开源生態的安全假设。

OpenAI 的公关和戰略定位

AI 资安工具的能力，和 AI 用於攻擊的能力，本质上是同一套技術。能找出漏洞的 GPT-5.5-Cyber，理論上也能被用来利用漏洞。OpenAI 选擇把这套能力包裝成「修補开源世界」，是一个主动的公关和戰略定位，它在说：「我們先使用这个能力做对的事，並且我們做得比任何人都快。」

老話一句：资安的護城河，从来不在於你有沒有掌握漏洞，而在於你能以多快的速度找到它們，然后在壞人用它們之前，先把洞補上。