OpenAI 发起全面行动修复开源漏洞,挑战 Anthropic's Mythos

Wired 新闻
open-source cybersecurity ai-bug-hunting ai-security openai patch-the-planet vulnerability-management

摘要

OpenAI 启动 'Patch the Planet' 计划,与 Trail of Bits 和 HackerOne 合作,利用 AI 工具帮助开源项目修复漏洞。此外,还宣布了其他网络安全举措,包括改进版 GPT-5.5-Cyber 模型和扩大政府访问权限。

在人们对 AI 模型网络安全能力的担忧中,OpenAI 发布了改进版 GPT-5.5-Cyber 及其 “Patch the Planet” 计划,以修复开源软件漏洞。
查看原文
查看缓存全文

缓存时间: 2026/06/22 19:32

# OpenAI 全面启动开源漏洞修复工作,挑战 Anthropic 的神话地位 来源:https://www.wired.com/story/openai-launches-full-scale-effort-to-patch-open-source-bugs-as-it-takes-on-anthropics-mythos/ 随着人们对 AI 黑客能力的担忧日益加剧,OpenAI 于周一发布了一系列以网络安全为重点的公告,包括改进后的受限安全专用模型 GPT-5.5-Cyber、扩大与各国政府及其他机构的国际合作以提供对其最新网络安全模型的“可信访问”,以及将 Codex 安全扫描器作为应用插件发布。 然而,AI 行业的整体进步使关键开源项目面临日益落后的风险。OpenAI 周一还宣布,启动一项名为“Patch the Planet”的计划,该计划由知名研究型安全公司 Trail of Bits 发起,并与漏洞管理公司 HackerOne 和 Calif 合作。 该项目已开始工作,为开源维护者提供免费的安全咨询服务,不仅帮助他们发现和修补漏洞,还支持他们强化代码库,并将 AI 安全工具整合到开发流程中。其理念是为尽可能多的开源项目提供个性化支持,以改善其当前安全性及长期韧性,并确保这种支持可持续。 Trail of Bits 首席执行官兼联合创始人 Dan Guido 表示:“Patch the Planet 是一项互联网规模的行动,旨在帮助开源软件领先于 AI 漏洞狩猎工具。同时,这也是一项帮助开源社区看到 AI 编码工具优点而不仅仅是缺点的努力。” 开源开发者通常是志愿者,用极少的资源维持着关键且广泛使用的软件,他们往往已经难以应对漏洞报告。近几个月来,AI 漏洞挖掘的兴起让许多维护者感到积压任务难以克服——海量的 AI 生成垃圾报告堆叠在一起,使得优先级排序变得困难,并占用了本就有限的时间和精力,从而忽略了关键漏洞。 OpenAI 的网络技术主管 Fouad Matin 表示,维护者“出于对开源的热爱而工作,但现在却要困于审查垃圾 CVE。”通过 Patch the Planet,他说,“我们实际上做的就是尽可能从 token 角度提高效率,以减轻维护者的负担——包括代码库评估、验证潜在报告、创建补丁以及落地补丁。我们希望抵消成本,无论是 token 还是人力,以便尽可能多地修补世界上的软件。” Matin 补充说,对于自今年早些时候开始研究预览的 Codex 安全扫描器,OpenAI 一直在为开源和私有代码提供补贴,“补贴额度高达 20 万亿 token。” 已有 30 多个开源项目参与了 Patch the Planet,还有更多项目即将加入。为了启动该项目,Trail of Bits 最近进行了为期五天的启动冲刺,期间派出 25 名工程师(约占其员工总数的五分之一)同时与一系列维护者进行合作。OpenAI 和 Trail of Bits 表示,该项目在启动的第一周就已发现数百个漏洞,并生成了数十个补丁。Guido 表示,凭借 OpenAI 的资助以及无限制的模型访问权限,Trail of Bits 计划长期维持对 Patch the Planet 工作的高强度投入。 Guido 说:“我们很少有机会处理大规模开源安全问题。而且 Patch the Planet 并非一刀切。我们会与每个项目的所有维护者沟通,了解他们的最高优先级是什么——无论是构建更好的测试基础设施、定制模糊测试器,还是清理整个项目的技术数据,因为这样才能让他们工作得更快、运行得更好、修补得更快。” OpenAI 周一发布公告之际,其竞争对手 Anthropic 本月初因特朗普政府对 AI 网络安全能力的担忧而被迫将其新的 Fable 5 和 Mythos 5 模型下架。白宫对 Anthropic 实施模型出口管制,是因为该公司公开发布了 Mythos 级别的 Fable 5,并对其先进的生物学和网络安全能力进行了限制——而政府认为这些保护措施不足。 OpenAI 周一的公告,包括 GPT-5.5-Cyber 的新检查点,均属于该公司有限的“网络安全可信访问”计划,不涉及公开发布。但 Anthropic 和 OpenAI 都在筹备 IPO,竞争显然仍在继续,无论当前市场上有什么产品。例如,OpenAI 在 GPT-5.5-Cyber 公告中指出,该模型在名为 CyberGym 的基准测试中得分 85.6%,较此前版本的 GPT-5.5-Cyber 有所提高。这一表现也超过了 Anthropic 的 Mythos 5,后者得分为 83.8%。 在这场 AI 网络安全竞赛中,五眼联盟(Five Eyes)情报联盟周一在罕见的联合声明中警告称:“前沿 AI 模型预计将超出当前行业预期,从根本上改变进攻和防御网络能力。时间线不是数年,而是数月……在这种环境下,网络韧性至关重要。” 对于 Patch the Planet 项目,参与者将获得六个月的免费 ChatGPT Pro 和六个月 Codex 安全服务,以及基础设施和工作流程的改进,这些改进可以借助一系列工具和人类工程师继续推进。 Trail of Bits 的 Guido 表示:“到目前为止,在 Patch the Planet 中,只有大约一半的时间用于寻找漏洞。我们试图找出最表面、最易发现、最严重的漏洞并将其清除。但另一半时间,我们用于定制能够针对代码库工作的智能体,以便将它们留下来,并教会维护者如何使用它们。” *更新于 2026 年 6 月 22 日下午 1:05(美国东部时间):添加了关于 Patch the Planet 项目的更多细节。*

相似文章