OpenAI startet den „Patch the Earth“-Plan und arbeitet mit Sicherheitsunternehmen zusammen, um Schwachstellen zu finden und diese in Open-Source-Projekten zu beheben

OpenAI gab am Montag den Start eines neuen Programms namens „Patch the Planet“ bekannt, das der Open-Source-Community dabei helfen soll, die Cybersicherheit zu verbessern und Code-Schwachstellen zu finden und zu beheben. Der Name ist eine offensichtliche Hommage an die berühmte Zeile „Hack the Planet“ aus dem Hackerfilm Hackers von 1995.

Der Einleitung zufolge wird OpenAI mit dem Sicherheitsunternehmen Trail of Bits zusammenarbeiten, und dessen Sicherheitsingenieure werden sich direkt mit den Betreuern von Open-Source-Projekten in Verbindung setzen, um potenzielle Codeprobleme zu überprüfen und dabei OpenAIs eigene Sicherheitstools wie Codex Security aufzurufen. OpenAI sagt, dass viele Betreuer bereits mit dem doppelten Druck „explodierender Berichtsmengen und konstanter Verarbeitungszeiten“ konfrontiert sind und dass „Patch the Planet“ darauf abzielt, diese Belastung zu reduzieren, anstatt sie zu erhöhen. Die Ingenieure von Trail of Bits prüfen und überprüfen Probleme, bevor sie an die Betreuer übergeben werden. Anschließend arbeiten sie mit dem Projekt zusammen, um Patch- und Testpläne zu entwickeln und wiederverwendbare Sicherheitsworkflows zu erstellen, um dem Team zu helfen, die Sicherheit nach der ersten Korrekturrunde weiter zu verbessern.

Um die Metapher des Unternehmens zu verwenden, ähnelt die Rolle von Trail of Bits eher einer „Code-EMT“: Sie nutzen OpenAI-Softwarefunktionen, um Open-Source-Betreuer bei der Identifizierung und hierarchischen Bewältigung potenzieller Sicherheitsrisiken zu unterstützen. Nach den aktuellen öffentlichen Informationen bestehen jedoch noch viele Unsicherheiten darüber, wie dieses Projekt langfristig aufrechterhalten wird und ob es in Zukunft auf einen größeren Maßstab ausgeweitet wird.

Open-Source-Software gilt als digitales „Fundament“ der heutigen kommerziellen Softwareindustrie. Aufgrund des stark fragmentierten Ökosystems und der schwachen Aufsicht weist eine beträchtliche Anzahl dieser Projekte jedoch unzureichende Sicherheitsprobleme auf. Sobald eine schwerwiegende Schwachstelle in einer weit verbreiteten Open-Source-Komponente aufgedeckt wird, können sich die Folgen schnell auf eine Vielzahl kommerzieller Systeme ausweiten. Ein typischer Fall ist der zuvor weithin publizierte Log4j-Schwachstellenvorfall.

Die jüngste Kontroverse um Anthropics Sicherheitstool Mythos geht auf die Tatsache zurück, dass ähnliche KI-Systeme automatisch Schwachstellen in Codebasen finden und versuchen konnten, Exploits zu generieren. Auch wenn die Automatisierung von Cyberkriminalität nichts Neues ist, haben diese neuen Tools zweifellos die Hemmschwelle für böswillige Akteure, Angriffe zu starten, deutlich gesenkt. Dieses Mal versucht OpenAI, ähnliche Technologien „umgekehrt zu nutzen“ und KI zu nutzen, um der Open-Source-Community dabei zu helfen, sich selbst zu schützen. Von außen gesehen ist dies nicht nur eine Konkurrenzreaktion auf Anthropic, sondern auch ein langfristiger Schwachpunkt in der Open-Source-Welt im Hinblick auf Sicherheitsfähigkeiten und -ressourcen.