2 часов назад
1
OpenAI объявила о запуске программы Patch the Planet, созданной совместно со специализирующейся на кибербезопасности компанией Trail of Bits. Её цель — использовать искусственный интеллект для поиска и исправления уязвимостей в популярных проектах с открытым исходным кодом, которые лежат в основе огромного количества корпоративных приложений, облачных сервисов и интернет-инфраструктуры.
В число первых участников вошли Python, Go, cURL, Sigstore, NATS Server, aiohttp, freenginx, библиотека pyca/cryptography и официальный проект python.org. Эти компоненты используются для разработки программного обеспечения, сетевого взаимодействия, криптографической защиты данных, проверки подлинности программ и обеспечения безопасности цепочек поставок ПО. Ошибка в одном таком проекте может затронуть тысячи компаний и миллионы устройств по всему миру.
По словам OpenAI, работа будет начинаться с консультаций с сопровождающими проектов, чтобы определить наиболее проблемные области. После этого специалисты и модели искусственного интеллекта будут искать потенциальные уязвимости, проверять их работоспособность, разрабатывать исправления, участвовать в тестировании и координировать раскрытие информации через существующие каналы проектов. Для анализа кода планируется использовать модели OpenAI и инструмент Codex Security, а инженеры Trail of Bits будут проверять все результаты перед передачей разработчикам, отсеивая ложные срабатывания и дублирующиеся сообщения.
Изображение сгенерировано: Nano Banana
Компания утверждает, что программа уже принесла первые результаты. В ходе пилотной работы были обнаружены сотни проблем безопасности, десятки исправлений уже включены в проекты, а многие другие находки пока проходят процедуру координированного раскрытия. Кроме того, были созданы дополнительные инструменты для фаззинга — автоматизированного поиска ошибок путём подачи нестандартных данных, анализа исторических записей CVE (Common Vulnerabilities and Exposures — общепринятая база уязвимостей) и дифференциального тестирования, которое позволяет сравнивать поведение разных версий программного обеспечения.
Запуск программы происходит на фоне растущей обеспокоенности безопасностью цепочек поставок ПО. За последние годы индустрия столкнулась с несколькими громкими инцидентами, включая уязвимость Log4Shell в библиотеке Log4j и внедрение вредоносного кода в проект XZ Utils. Оба случая показали, что проблема в одном широко используемом компоненте способна быстро распространиться по тысячам продуктов и корпоративных систем.
Однако эксперты предупреждают, что искусственный интеллект не решает проблему автоматически. Аналитик компании Forrester Бисваджит Махапатра (Biswajeet Mahapatra) считает главным преимуществом подобных систем скорость. ИИ способен значительно быстрее находить, проверять, исправлять и документировать ошибки, но роль специалистов не исчезает. Наоборот, людям по-прежнему необходимо оценивать реальную опасность найденных уязвимостей, проверять безопасность исправлений и принимать решения о сроках публикации информации.
Архитектор по безопасности открытого программного обеспечения Девашри Датта (Devashri Datta) отмечает, что компаниям необходимо заранее выстраивать систему контроля для работы с находками ИИ. По её мнению, любая автоматически найденная уязвимость должна проходить независимую проверку, включая подтверждение возможности эксплуатации и фильтрацию ложных срабатываний. Кроме того, организациям следует заранее определить порядок действий на случай обнаружения проблем в сторонних компонентах, которые они сами не контролируют, включая ответственных лиц, сроки уведомления и процедуры эскалации.
Эксперты также ожидают, что распространение подобных инструментов изменит сам подход к управлению безопасностью. Если раньше анализ новых уязвимостей и выпуск исправлений могли занимать недели, то системы с поддержкой ИИ способны сократить этот процесс до нескольких дней. В результате компаниям придётся переходить от периодического устранения проблем к практически непрерывной оценке рисков. При этом стандартных рейтингов вроде CVSS для расстановки приоритетов станет недостаточно: придётся учитывать конкретную роль системы в бизнесе, доступность сервиса, вероятность эксплуатации ошибки и потенциальный ущерб.
Таким образом, с Patch the Planet OpenAI рассчитывает создать модель, при которой искусственный интеллект сможет ускорить защиту критически важных компонентов цифровой инфраструктуры, от которых зависит работа современных сервисов, облачных платформ и корпоративных систем. Но эффективность такого подхода будет определяться не только возможностями ИИ, а тем, насколько хорошо компании смогут встроить его в существующие процессы управления киберрисками.
© iXBT
English (US) · 
Russian (RU) ·