OpenAI запускает Patch the Planet: масштабная защита open-source от ИИ-атак

OpenAI объявила о запуске инициативы Patch the Planet — масштабной программы по укреплению безопасности открытого программного обеспечения. Партнёрами выступили исследовательская компания в области кибербезопасности Trail of Bits, а также платформы управления уязвимостями HackerOne и Calif. Проект уже работает: за первую неделю команда из 25 инженеров выявила сотни уязвимостей и подготовила десятки патчей для реальных проектов.

Анонс состоялся на фоне нескольких других киберсecurity-инициатив компании: обновлённой версии закрытой модели GPT-5.5-Cyber, расширения программы «доверенного доступа» для правительств и институтов, а также выхода сканера Codex Security в виде плагина для приложений.

Почему open-source оказался под угрозой

Открытые проекты традиционно держатся на энтузиастах-волонтёрах с ограниченными ресурсами. Эти люди и без того едва справлялись с потоком сообщений об ошибках. Появление ИИ-инструментов для поиска уязвимостей резко усугубило ситуацию: автоматически сгенерированные отчёты о «потенциальных CVE» заваливают трекеры, мейнтейнерам приходится тратить время на разбор мусора вместо устранения реальных проблем.

««Мейнтейнеры делают свою работу из любви к open-source, а теперь вынуждены разгребать мусорные CVE», — говорит Фуад Матин, технический руководитель по кибербезопасности в OpenAI.»

Матин объясняет логику Patch the Planet так: задача — максимально снизить нагрузку на мейнтейнеров за счёт автоматизации рутины. Оценка кодовой базы, валидация потенциальных отчётов, создание и внедрение патчей — всё это берут на себя инженеры и ИИ-агенты. По его словам, OpenAI уже субсидирует использование сканера Codex Security — как для открытых, так и для закрытых репозиториев — на сумму 20 триллионов токенов.

Как устроена программа и что получают участники

Запуск Patch the Planet начался с пятидневного интенсива: 25 инженеров Trail of Bits — около пятой части всего штата компании — одновременно работали с несколькими командами мейнтейнеров. Сейчас в программе участвуют более 30 open-source проектов, ещё ряд находится в очереди.

CEO и сооснователь Trail of Bits Дэн Гуидо подчёркивает, что подход намеренно индивидуальный, а не шаблонный. С каждой командой проводится отдельный разговор о приоритетах: кому-то нужна инфраструктура для тестирования, кому-то — кастомные фаззеры, кому-то — просто наведение порядка в технической документации.

««Patch the Planet — это не универсальное решение. Мы разговариваем с мейнтейнерами каждого проекта и выясняем, что именно поможет им работать и патчить быстрее», — говорит Гуидо.»

По его словам, примерно половина времени в первом спринте ушла не на поиск багов, а на настройку ИИ-агентов под конкретные кодовые базы — чтобы оставить их мейнтейнерам как рабочий инструмент. Участники программы получают шесть месяцев бесплатного ChatGPT Pro и шесть месяцев Codex Security, а также улучшения инфраструктуры, которые можно использовать с любыми инструментами в дальнейшем.

Гонка с Anthropic и предупреждение Five Eyes

Анонсы OpenAI вышли в показательный момент. Конкурент компании — Anthropic — был вынужден отозвать с рынка модели Fable 5 и Mythos 5 после того, как администрация Трампа ввела экспортные ограничения. Поводом стали опасения, что встроенные блокировки на продвинутые биологические и кибербезопасные возможности недостаточно надёжны.

OpenAI, в свою очередь, акцентирует внимание на показателях своей закрытой модели: GPT-5.5-Cyber набирает 85,6% на бенчмарке CyberGym — против 83,8% у Mythos 5 от Anthropic. Обе компании готовятся к IPO, поэтому конкуренция не утихает вне зависимости от того, какие продукты доступны публично в конкретный момент.

В тот же день альянс разведок Five Eyes выпустил совместное заявление с необычно жёсткой формулировкой: фронтирные ИИ-модели в ближайшее время превзойдут текущие отраслевые ожидания и кардинально изменят как наступательные, так и оборонительные кибервозможности. «Речь идёт не о годах, а о месяцах», — говорится в документе.

Что это значит для белорусских разработчиков

Для IT-специалистов из Беларуси — как работающих в ПВТ, так и в международных распределённых командах — Patch the Planet представляет прямой практический интерес. Многие белорусские разработчики участвуют в open-source проектах или поддерживают собственные библиотеки, используемые в продакшне по всему миру.

Подать заявку на участие в программе могут мейнтейнеры любых открытых проектов — Trail of Bits и OpenAI декларируют, что намерены охватить как можно больше команд. Отдельного внимания заслуживает бесплатный доступ к Codex Security: для небольших команд без выделенного security-инженера это реальная возможность провести аудит кодовой базы силами ИИ-инструментов, не закладывая бюджет на внешний пентест.

Более широкий контекст тоже важен: если Five Eyes правы насчёт временных рамок, белорусские компании, работающие с критической инфраструктурой или финансовыми сервисами, окажутся в среде, где автоматизированный поиск уязвимостей станет стандартным инструментом атакующих. Инвестиции в security-культуру и инструментарий сегодня — это не опережение тренда, а базовая гигиена.

— По материалам Wired: оригинальная статья. Перевод и адаптация — редакция Digital Business.