OpenAI meluncurkan Patch the Planet, minggu pertama menemukan ratusan celah yang menutupi 19 proyek open source

OpenAI pada 23 Juni mengumumkan program “Patch the Planet”, yang melakukan pemindaian keamanan sistematis terhadap proyek inti sumber terbuka di seluruh dunia. Menurut pengumuman OpenAI, pada minggu pertama program ini menemukan ratusan celah keamanan, mengirimkan 64 pull requests, membuka 51 issues, mencakup 19 proyek sumber terbuka seperti cURL, Python, PyPI, dan lainnya.

Patch the Planet—mitra, alat AI, dan paket sumber daya untuk peserta

(Sumber: situs web OpenAI)

Berdasarkan pengumuman OpenAI, mitra program ini adalah Trail of Bits (perusahaan keamanan siber), HackerOne (platform hadiah bug), dan Calif; dua alat AI yang disediakan adalah Codex Security dan GPT-5.5-Cyber.

Sumber daya bagi peserta meliputi: akses ChatGPT Pro; akses bersyarat untuk Codex Security; API credits; serta infrastruktur keamanan (fuzzing harnesses [kerangka pengujian yang membuat program secara otomatis memberikan input acak untuk memunculkan bug yang tersembunyi], pipeline analisis CVE historis, sistem pengujian diferensial, model ancaman, dan paket uji yang diperluas).

19 proyek sumber terbuka target gelombang pertama dan hasil kuantitatif minggu pertama

Berdasarkan pengumuman OpenAI, 19 proyek sumber terbuka yang dicakup pada gelombang pertama meliputi: cURL, Python, PyPI, urllib3, aiohttp, proyek Go, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto, dan python.org, dll.

Hasil kuantitatif minggu pertama (sumber: pengumuman OpenAI): menemukan ratusan celah keamanan; mengirimkan 64 pull requests; membuka 51 issues. Capaian di atas merupakan total gabungan untuk 19 proyek; distribusi celah pada masing-masing proyek tidak diungkapkan satu per satu dalam pengumuman yang ada.

Dilema keamanan siber sumber terbuka dan latar belakang historis log4j

Insiden celah log4j (Desember 2021): Apache log4j adalah alat pencatatan yang banyak digunakan dalam ekosistem Java, dan celah keamanannya disebut oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) sebagai “salah satu celah paling serius sepanjang sejarah”.

Masalah struktural (analisis penulis naskah asli): Penulis naskah asli menyatakan bahwa masalah keamanan siber ekosistem sumber terbuka pada dasarnya adalah masalah sumber daya manusia: ratusan ribu paket sumber terbuka di seluruh dunia, para pemelihara sering kali hanya terdiri dari satu atau dua orang, sehingga tidak dapat melakukan audit keamanan penuh terhadap semua kode; celah sering kali baru ditemukan bertahun-tahun setelah muncul. Kerangka analisis penulis adalah bahwa keunggulan AI bukan terletak pada menemukan celah kelas jenius, melainkan pada melakukan pemindaian berkelanjutan terhadap kumpulan kode dalam jumlah besar dengan kepadatan yang tidak mampu dipertahankan oleh manusia. Hal di atas merupakan pandangan penulis naskah asli, bukan pernyataan resmi OpenAI.

FAQ

Hasil kuantitatif minggu pertama Patch the Planet dipublikasikan oleh pihak mana?

Angka “ratusan celah, 64 pull requests, 51 issues” berasal dari pengumuman resmi OpenAI, yaitu total gabungan untuk 19 proyek sumber terbuka. Apakah masing-masing proyek telah menerima dan menggabungkan perbaikan tersebut, perlu merujuk ke catatan pembaruan repositori versi masing-masing proyek.

Apa perbedaan Codex Security dan GPT-5.5-Cyber?

Menurut pengumuman OpenAI, keduanya adalah dua alat AI keamanan siber yang disediakan dalam program ini; metode akses Codex Security ditandai sebagai “akses bersyarat”, sementara GPT-5.5-Cyber adalah alat AI versi pembaruan. Perbedaan fungsi dan spesifikasi teknis secara rinci tidak dijelaskan dalam pengumuman yang ada.

Mengapa OpenAI memilih infrastruktur yang banyak digunakan seperti cURL dan Python, bukan proyek lain?

Naskah asli menyebutkan bahwa ini adalah “infrastruktur untuk seluruh internet modern”; estimasi pemasangan global cURL melebihi 200 miliar perangkat. Dalam infrastruktur yang luas seperti ini, celah yang ditemukan berpotensi berdampak jauh lebih besar dibanding alat khusus yang lebih kecil—ini adalah interpretasi penulis naskah asli atas pilihan tersebut, bukan penjelasan pilihan resmi OpenAI.