OpenAI 推出“修补地球”计划，用 AI 助力开源社区提升网络安全

6月23日消息，OpenAI周一宣布了一项新计划，名字挺有意思——“修补地球”（Patch the Planet）。这明显是在致敬1995年那部经典电影《黑客》里的台词“入侵地球”（Hack the Planet）。不过这回不是入侵，而是修补。OpenAI要与网络安全公司Trail of Bits联手，帮开源项目的维护者们加固代码安全。

具体怎么操作？Trail of Bits的安全技术人员直接跟开源项目维护者对接，排查代码里潜藏的各种风险问题，同时搭配OpenAI自家的Codex Security等安全工具做辅助检测。说白了，就是让专业安全工程师带着AI工具，手把手帮开源项目找漏洞、修漏洞。

OpenAI在声明里说得挺实在：“如今多数开源维护者人手、时间都极其有限，却还要加班加点处理数量暴涨的安全漏洞上报工单。‘修补地球’计划不是给他们添乱，而是减负。安全工程师会先对漏洞检测结果做前置核验，再和项目团队一起编写漏洞补丁与配套测试用例，最后搭一套可复用的自动化工作流，让项目修完第一轮漏洞后能持续迭代优化自身安全防护水平。”

简单理解，Trail of Bits的工程师就像代码界的急救医生，依托AI工具帮开源维护者定位、分级处置各种潜在安全隐患。这个愿景很大，但长期怎么运行、能不能规模化推广，目前还没看到明确方案。

开源项目是整个商用软件行业的数字基石，问题在于开源生态太分散、监管又薄弱，导致大量开源代码存在安全缺陷。一个开源程序的漏洞，很容易引发整个商用代码库的重大安全事故。前几年闹得沸沸扬扬的Log4j漏洞事件就是典型案例——一款被广泛使用的开源工具爆出高危漏洞，结果全球范围一片狼藉。

说到这，值得提一下Anthropic那款备受关注的安全工具Mythos。业界对它普遍担心的一点是：AI现在能自动扫描代码库里的现存漏洞，然后据此生成可用的攻击程序。网络犯罪自动化不是什么新鲜事，但这类AI工具无疑大幅降低了不法分子实施网络攻击的门槛。

OpenAI反其道而行，用AI去赋能开源社区，主动强化自身防御能力。这一手，一方面多少带着跟Anthropic较劲的竞争味道，另一方面也确实戳中了开源社区长期以来最迫切的安全需求。