【OPENAI】Patch the Planet:支援开源维护者
OpenAI 推出 Patch the Planet(Daybreak 项目),与 Trail of Bits 等合作,将最先进的网络安全模型与人工专家审查结合,帮助开源维护者发现、验证并修补漏洞,同时建立可复用的安全工作流以减轻维护负担。首轮覆盖 cURL、Python、Go、Sigstore 等关键项目,并提供模型、工具与测试基础设施支持。
OpenAI 推出 Patch the Planet(Daybreak 项目),与 Trail of Bits 等合作,将最先进的网络安全模型与人工专家审查结合,帮助开源维护者发现、验证并修补漏洞,同时建立可复用的安全工作流以减轻维护负担。首轮覆盖 cURL、Python、Go、Sigstore 等关键项目,并提供模型、工具与测试基础设施支持。
概览
– 项目:Patch the Planet(Daybreak 旗下)
– 目标:帮助开源维护者发现、验证、修补漏洞,并建立长期可复用的安全流程
– 合作方:Trail of Bits 主导安全研究,HackerOne 与 Calif 协助分流与披露
工作方式
– 与维护者协商确定优先方向(漏洞验证、补丁开发、CI/CD 改进等)
– 使用 GPT‑5.5‑Cyber / Codex Security 等模型辅助分析、生成补丁与测试
– 安全工程师人工复核、去重、调整严重度并与项目协作完成补丁和披露
– 参与项目可获 ChatGPT Pro、条件性 Codex Security 访问及 API 额度
已取得的初期成果
– Trail of Bits 在 19 个项目中发现数百个安全问题并合并数十个补丁(部分仍在协调披露)
– 快速搭建模糊测试实验室:在 <1 天内生成覆盖多入口与平台的模糊套件
– 可复用的漏洞变体发现管道:基于历史 CVE 自动提取模式并跨代码库搜索
– 差异化测试自动化:生成对比测试桩以发现实现差异导致的缺陷,时间从数月压缩到几天
– 生成基于规范的不变性与属性测试,提升测试覆盖与 CI/CD 质量
对维护者的价值
– 降低报告噪音:人工复核过滤大量误报,优先级调整后再交付维护者
– 提供补丁、测试、模糊与分析流水线,帮助项目持续改进安全
– 直接参与的项目示例:cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go、freenginx、Python、python.org
下一步与开放点
– 更多项目将在后续加入
– 团队将在完成测试与披露后分享更详细的项目级发现与方法
结语
– Patch the Planet 结合 AI 与人工安全专家,旨在把漏洞发现到修复的工作流标准化并规模化,重点是减轻维护者负担而非增加噪音。
将强大模型与人工复核结合是可行路径,但持续化资金与维护者协调仍是关键挑战。
不错过任何一条 AI 大事
订阅 AIFlux 早报,每天 3 分钟看懂产业动态。

