أعلنت OpenAI في 23 يونيو عن خطة «Patch the Planet»، لإجراء فحوص أمنية منهجية على مشاريع البرمجيات مفتوحة المصدر الأساسية حول العالم. ووفقاً لإعلان OpenAI، عثرت الخطة خلال أسبوعها الأول على مئات الثغرات الأمنية، وقدّمت 64 طلب pull request، وفتحت 51 issue، عبر 19 مشروعاً مفتوح المصدر، بينها cURL وPython وPyPI.
Patch the Planet: الشركاء والأدوات والمجموعات المشاركة في حزمة الموارد
(المصدر: موقع OpenAI)
بحسب إعلان OpenAI، يتمثل شركاء الخطة في Trail of Bits (شركة أمن معلومات) وHackerOne (منصة لمكافآت اكتشاف الثغرات) وCalif؛ بينما تتمثل أداتان بالذكاء الاصطناعي المقدمتان في Codex Security وGPT-5.5-Cyber.
تشمل موارد المشاركين: حق الوصول إلى ChatGPT Pro؛ وإتاحة الوصول المشروط إلى Codex Security؛ وAPI credits؛ إضافة إلى البنية التحتية للأمن (أطر عمل fuzzing harnesses〔إطارات اختبار تقوم تلقائياً بإدخال مدخلات عشوائية لاستخراج الأخطاء الكامنة في البرنامج〕، خط إنتاج تحليل CVE التاريخي، نظام الاختبار التفاضلي، نماذج التهديد، وحزم الاختبار الموسعة).
أول 19 مشروعاً مفتوحاً المصدر مستهدفاً ونتائج كمية للأسبوع الأول
بحسب إعلان OpenAI، تشمل الدفعة الأولى من 19 مشروعاً مفتوح المصدر التي تمت تغطيتها: cURL وPython وPyPI وurllib3 وaiohttp وGo project وfreenginx وNATS وpyca وSigstore وSimpleX وValkey وRustCrypto وpython.org وغيرها.
نتائج كمية للأسبوع الأول (المصدر: إعلان OpenAI): اكتشاف مئات الثغرات الأمنية؛ تقديم 64 pull requests؛ فتح 51 issues. وتشكل هذه النتائج إجمالي 19 مشروعاً، في حين لم يتم الإفصاح في الإعلان الحالي عن توزيع الثغرات لكل مشروع على حدة.
مأزق أمن البرمجيات مفتوحة المصدر والخلفية التاريخية لثغرة log4j
واقعة ثغرة log4j (ديسمبر 2021): تُعد Apache log4j أداة تسجيل تُستخدم على نطاق واسع ضمن نظام Java البيئي، وقد وصف جهاز الأمن السيبراني والبنية التحتية للأمن (CISA) التابع للولايات المتحدة ثغرة أمنها بأنها «واحدة من أشد الثغرات خطورة على الإطلاق».
مشكلة هيكلية (تحليل مؤلف النص الأصلي): يشير النص الأصلي إلى أن مشكلات الأمن السيبراني في بيئة البرمجيات مفتوحة المصدر تتمثل في جوهرها بمشكلة متعلقة بالقوى البشرية: فهناك عشرات الملايين من حزم البرمجيات مفتوحة المصدر، وغالباً ما لا يتجاوز عدد القائمين على صيانتها شخصاً أو اثنين، ما يجعل من المستحيل إجراء تدقيق أمني شامل لكل أجزاء الكود؛ وغالباً ما لا يتم اكتشاف الثغرات إلا بعد سنوات من ظهورها. ويكمن إطار تحليل النص الأصلي في أن ميزة الذكاء الاصطناعي ليست في العثور على ثغرات بمستوى «العبقرية» بقدر ما هي في الحفاظ على كثافة فحص مستمرة لعدد كبير من مستودعات الكود لا يمكن للقوى البشرية وحدها الاستمرار عليها. هذه وجهة نظر مؤلف النص الأصلي، وليست طرحاً رسمياً من OpenAI.
الأسئلة الشائعة
من الجهة التي كشفت نتائج الأسبوع الأول الكمية لخطة Patch the Planet؟
الأرقام «مئات الثغرات و64 pull requests و51 issues» صادرة عن إعلان OpenAI الرسمي، وهي إجمالي 19 مشروعاً مفتوحاً المصدر. أما ما إذا كانت مشاريع البرمجيات مفتوحة المصدر الفردية قد قبلت هذه الإصلاحات وجرى دمجها، فيتعين الرجوع إلى سجل تحديثات مستودعاتها الخاصة.
ما الفرق بين Codex Security وGPT-5.5-Cyber؟
بحسب إعلان OpenAI، تمثل الأداتان ذتان مختلفتان للأمن السيبراني بالذكاء الاصطناعي مقدمتان ضمن الخطة؛ وقد وُصفت طريقة الوصول إلى Codex Security بأنها «وصول مشروط»، بينما تمثل GPT-5.5-Cyber أداة ذكاء اصطناعي محدثة. لم يتم توضيح الفروقات الدقيقة في الوظائف أو المواصفات التقنية بالتفصيل في الإعلان الحالي.
لماذا اختارت OpenAI بنية تحتية واسعة الاستخدام مثل cURL وPython بدل مشاريع أخرى؟
يشير النص الأصلي إلى أنها «البنية التحتية للإنترنت الحديث بأكمله»؛ ويُقدّر أن عدد عمليات تثبيت cURL عالمياً يتجاوز 20 مليار جهاز. وبالنسبة إلى الثغرات المكتشفة ضمن هذا النوع من البنية التحتية الواسعة الانتشار، فإن نطاق التأثير المحتمل يكون أكبر بكثير من الأدوات المتخصصة، وهو تفسير مؤلف النص الأصلي لسبب اختيار المعايير، وليس شرحاً رسمياً من OpenAI.
