OpenAI hat am 23. Juni sein Vorhaben „Patch the Planet“ angekündigt, mit dem weltweit zentrale Open-Source-Projekte systematisch auf Sicherheitsrisiken gescannt werden. Laut der Ankündigung von OpenAI wurden in der ersten Woche Hunderte von Sicherheitslücken gefunden, es wurden 64 pull requests eingereicht und 51 issues eröffnet. Die Arbeiten erstrecken sich über 19 Open-Source-Projekte, darunter cURL, Python und PyPI.
Patch the Planet: Kooperationspartner, KI-Tools und Ressourcenpaket für Teilnehmende
(Quelle: OpenAI-Website)
Laut der Ankündigung von OpenAI bestehen die Kooperationspartner des Programms aus Trail of Bits (Sicherheitsunternehmen), HackerOne (Plattform für die Prämierung von Schwachstellen) und Calif; die bereitgestellten zwei KI-Tools sind Codex Security und GPT-5.5-Cyber.
Zu den Ressourcen für Teilnehmende gehören: ChatGPT Pro-Zugriffsberechtigung; Codex Security mit bedingtem Zugriff; API credits; sowie sicherheitsbezogene Infrastruktur (fuzzing harnesses〔Testframework, das Programme automatisch mit zufälligen Eingaben füttert, um versteckte Bugs aufzudecken〕, historische CVE-Analyse-Pipelines, differenzielle Testsysteme, Bedrohungsmodelle und ergänzende Test-Suites).
Erste Welle von 19 Ziel-Open-Source-Projekten und messbare Ergebnisse der ersten Woche
Laut der Ankündigung von OpenAI umfassen die in der ersten Welle abgedeckten 19 Open-Source-Projekte: cURL, Python, PyPI, urllib3, aiohttp, Go project, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto und python.org.
Messbare Ergebnisse der ersten Woche (Quelle: OpenAI-Ankündigung): Hunderte von Sicherheitslücken entdeckt; 64 pull requests eingereicht; 51 issues eröffnet. Die genannten Ergebnisse sind die Gesamtsumme für alle 19 Projekte; wie die Sicherheitslücken sich auf einzelne Projekte verteilen, wurde in der bisherigen Ankündigung nicht im Detail offengelegt.
Offenes Sicherheits-Dilemma im Open-Source-Bereich und historischer Hintergrund zu log4j
log4j-Sicherheitsvorfall (Dezember 2021): Apache log4j ist ein in der Java-Ökosystem weit verbreitetes Logging-Tool; seine Sicherheitslücke wurde vom U.S. Cybersecurity and Infrastructure Security Agency (CISA) als „eine der schwerwiegendsten Sicherheitslücken der Geschichte“ bezeichnet.
Strukturelle Probleme (Analyse des Originalautors): Der Originaltext stellt fest, dass die Sicherheitsprobleme im Open-Source-Ökosystem im Kern ein Problem von personellen Ressourcen seien: weltweit existieren Dutzende von Tausend Open-Source-Paketen, wobei die Maintainer oft nur ein oder zwei Personen sind und nicht in der Lage, alle Codezeilen vollständig sicherheitsseitig zu auditieren; Schwachstellen würden zudem häufig erst Jahre nach ihrer Veröffentlichung entdeckt. Das Analysegerüst des Originaltexts lautet, dass die Stärke von KI nicht darin liege, geniale Schwachstellen zu finden, sondern darin, mit einer Dichte, die personell kaum aufrechtzuerhalten ist, kontinuierlich große Codebasen zu scannen. Dies sind die Ansichten des Originalautors und keine offizielle Stellungnahme von OpenAI.
Häufige Fragen
Welche Partei hat die quantitativen Ergebnisse der ersten Woche von „Patch the Planet“ offengelegt?
Die Zahlen „Hunderte von Lücken, 64 pull requests, 51 issues“ stammen aus der offiziellen Ankündigung von OpenAI und beziehen sich auf die Gesamtsumme der 19 Open-Source-Projekte. Ob die einzelnen Open-Source-Projekte diese Fixes bereits akzeptiert und zusammengeführt haben, muss anhand der jeweiligen Änderungs- und Update-Historien in den Repositorien geprüft werden.
Worin unterscheiden sich Codex Security und GPT-5.5-Cyber?
Laut der OpenAI-Ankündigung handelt es sich bei beiden um zwei unterschiedliche KI-Sicherheits-Tools, die im Rahmen des Programms bereitgestellt werden; der Zugangsmodus von Codex Security ist mit „bedingter Zugriff“ gekennzeichnet, während GPT-5.5-Cyber ein aktualisiertes KI-Tool ist. Konkrete Funktionsunterschiede und technische Spezifikationen werden in der bisherigen Ankündigung nicht im Detail erläutert.
Warum hat OpenAI ausgerechnet cURL und Python als weit verbreitete Infrastruktur gewählt und nicht andere Projekte?
Der Originaltext führt aus, dass diese „die Infrastruktur des gesamten modernen Internets“ seien; die globale Installationszahl von cURL wird auf mehr als 20 Milliarden Geräte geschätzt. Die Auswirkungen von Sicherheitslücken, die in so verbreiteter Infrastruktur gefunden werden, übertreffen potenziell die von Nischen-Tools bei Weitem. Dies ist die Interpretation des Originalautors zur Auswahl und keine offizielle Erklärung von OpenAI.
