OpenAI запускает инициативу Patch the Planet для защиты open-source проектов от уязвимостей

Новая инициатива должна ускорить обнаружение и устранение ошибок в Python, Go, cURL и других проектах, от которых зависит значительная часть современного программного обеспечения

OpenAI анонсировала запуск инициативы Patch the Planet, разработанной в сотрудничестве с компанией Trail of Bits, специализирующейся на кибербезопасности. Цель данного проекта — задействовать искусственный интеллект для выявления и исправления уязвимостей в популярных проектах с открытым исходным кодом, которые составляют основу множества корпоративных приложений, облачных сервисов и интернет-инфраструктуры.

В числе первых участников программы находятся Python, Go, cURL, Sigstore, NATS Server, aiohttp, freenginx, библиотека pyca/cryptography и официальный проект python.org. Эти компоненты применяются для разработки программного обеспечения, сетевого взаимодействия, криптографической защиты данных, аутентификации программ и обеспечения безопасности цепочек поставок ПО. Ошибка в одном таком проекте может повлиять на тысячи компаний и миллионы устройств по всему миру.

По заявлению OpenAI, работа начнётся с консультаций с сопровождающими проектами для выявления наиболее уязвимых мест. Затем специалисты и модели искусственного интеллекта будут исследовать возможные уязвимости, проверять их работоспособность, разрабатывать решения, участвовать в тестировании и координировать раскрытие информации через существующие каналы проектов. Для анализа кода планируется использование моделей OpenAI и инструмента Codex Security, а инженеры Trail of Bits будут проверять результаты перед передачей их разработчикам, отсекая ложные срабатывания и дублирующиеся уведомления.

Компания утверждает, что программа уже дала первые результаты. В ходе пилотного этапа были выявлены сотни проблем безопасности, десятки исправлений уже интегрированы в проекты, а многие другие находки всё ещё проходят процесс координированного раскрытия. Более того, были разработаны дополнительные инструменты для фаззинга — автоматизированного поиска ошибок путём подачи нестандартных данных, анализа исторических записей CVE (Common Vulnerabilities and Exposures — общепринятая база уязвимостей) и дифференциального тестирования, позволяющего сравнивать поведение различных версий программного обеспечения.

Запуск программы происходит на фоне увеличивающейся озабоченности по поводу безопасности цепочек поставок ПО. За последние годы индустрия столкнулась с несколькими резонирующими инцидентами, включая уязвимость Log4Shell в библиотеке Log4j и внедрение вредоносного кода в проект XZ Utils. Оба случая продемонстрировали, что проблема в одном широко используемом компоненте может быстро распространиться на тысячи продуктов и корпоративных систем.

Тем не менее, эксперты предостерегают, что искусственный интеллект не решает проблему автоматически. Аналитик компании Forrester Бисваджит Махапатра (Biswajeet Mahapatra) считает, что основным преимуществом подобных систем является скорость. ИИ способен значительно быстрее выявлять, проверять, исправлять и документировать ошибки, но роль специалистов остаётся важной. Наоборот, людям по-прежнему необходимо оценивать реальную угрозу найденных уязвимостей, проверять безопасность исправлений и принимать решения о сроках публикации информации.

Архитектор по безопасности открытого программного обеспечения Девашри Датта (Devashri Datta) подчеркивает, что компаниям следует заранее организовать систему контроля для работы с находками ИИ. По её мнению, каждая автоматически выявленная уязвимость должна проходить независимую проверку, включая подтверждение возможности эксплуатации и фильтрацию ложных срабатываний. Кроме того, организациям стоит заранее определить порядок действий на случай обнаружения проблем в сторонних компонентах, которые они сами не контролируют, включая ответственных лиц, сроки уведомления и процедуры эскалации.

Эксперты также предсказывают, что распространение подобных инструментов изменит сам подход к управлению безопасностью. Если ранее анализ новых уязвимостей и выпуск исправлений могли занимать недели, то системы с поддержкой ИИ способны сократить этот процесс до нескольких дней. В результате компаниям придётся переходить от периодического устранения проблем к практически непрерывной оценке рисков. При этом стандартных рейтингов, таких как CVSS, для расстановки приоритетов станет недостаточно: необходимо будет учитывать конкретную роль системы в бизнесе, доступность сервиса, вероятность эксплуатации ошибки и потенциальный ущерб.

Таким образом, с Patch the Planet OpenAI намеревается создать модель, при которой искусственный интеллект сможет ускорить защиту критически важных компонентов цифровой инфраструктуры, от которых зависит функционирование современных сервисов, облачных платформ и корпоративных систем. Однако эффективность такого подхода будет зависеть не только от возможностей ИИ, но и от того, насколько хорошо компании смогут интегрировать его в существующие процессы управления киберрисками.