OpenAIは月曜日、オープンソースコミュニティによるサイバーセキュリティの向上とコードの脆弱性の発見と修正を支援する「Patch the Planet」と呼ばれる新しいプログラムの立ち上げを発表した。この名前は、1995 年のハッカー映画『ハッカーズ』の有名なセリフ「Hack the Planet」への明らかなオマージュです。
紹介文によると、OpenAI はセキュリティ会社 Trail of Bits と協力し、Trail of Bits のセキュリティ エンジニアはオープンソース プロジェクトのメンテナーと直接連携して潜在的なコードの問題をレビューし、その過程で Codex Security などの OpenAI 独自のセキュリティ ツールを呼び出します。 OpenAIによると、多くのメンテナーはすでに「爆発的なレポート量と一定の処理時間」という二重のプレッシャーに直面しており、「Patch the Planet」はこの負担を増やすのではなく、軽減することを目的としているという。 Trail of Bits のエンジニアは、問題がメンテナに引き渡される前にスクリーニングしてレビューし、プロジェクトと協力してパッチとテストの計画を開発し、再利用可能なセキュリティ ワークフローを構築して、最初の修正ラウンド後にチームがセキュリティを向上し続けるのを支援します。
同社の比喩を使うと、Trail of Bits の役割は「コード EMT」に似ています。つまり、OpenAI ソフトウェアの機能を使用して、オープンソースの保守担当者が潜在的なセキュリティ リスクを特定し、階層的に処理するのを支援します。しかし、現時点で公開されている情報から判断すると、このプロジェクトが長期的にどのように運営を維持していくのか、将来さらに大規模に拡大するのかについては、依然として不確実な部分が多い。
オープンソース ソフトウェアは、今日の商用ソフトウェア業界のデジタル「基盤」とみなされています。しかし、エコシステムが非常に細分化されており、監督が弱いため、これらのプロジェクトのかなりの数にはセキュリティの問題が不十分です。広く使用されているオープンソース コンポーネントで重大な脆弱性が露出すると、その影響はすぐに多数の商用システムに広がる可能性があります。以前に広く報道された log4j の脆弱性インシデントはその典型的なケースです。
Anthropic のセキュリティ ツール Mythos をめぐる最近の論争は、同様の AI システムがコード ベースの脆弱性を自動的に発見し、エクスプロイトを生成しようとすることができたという事実に端を発しています。サイバー犯罪の自動化は新しいものではありませんが、これらの新しいツールにより、悪意のある攻撃者が攻撃を開始するしきい値が大幅に下がったことは間違いありません。今回、OpenAIは同様のテクノロジーを「逆利用」し、オープンソースコミュニティが自らを守るためにAIを活用しようとしている。外の世界から見ると、これは Anthropic に対する競争上の対応であるだけでなく、セキュリティ機能とリソースの点でオープンソースの世界における長期的な問題点でもあります。