A OpenAI anunciou na segunda-feira o lançamento de um novo programa chamado “Patch the Planet” para ajudar a comunidade de código aberto a melhorar a segurança cibernética e encontrar e corrigir vulnerabilidades de código. O nome é uma homenagem óbvia à famosa frase "Hack the Planet" do filme hacker de 1995, Hackers.
De acordo com a introdução, a OpenAI cooperará com a empresa de segurança Trail of Bits, e os engenheiros de segurança desta última se conectarão diretamente com os mantenedores do projeto de código aberto para revisar possíveis problemas de código e chamar as próprias ferramentas de segurança da OpenAI, como Codex Security, no processo. A OpenAI diz que muitos mantenedores já estão enfrentando a dupla pressão de “explodir volumes de relatórios e tempos de processamento constantes”, e que “Patch the Planet” visa reduzir essa carga em vez de aumentá-la. Os engenheiros da Trail of Bits examinarão e revisarão os problemas antes de serem entregues aos mantenedores e, em seguida, trabalharão com o projeto para desenvolver planos de patch e testes e criarão fluxos de trabalho de segurança reutilizáveis para ajudar a equipe a continuar a melhorar a segurança após a primeira rodada de correções.
Usando a metáfora da empresa, o papel da Trail of Bits é mais como um “EMT de código”: usar recursos de software OpenAI para ajudar os mantenedores de código aberto a identificar e lidar hierarquicamente com possíveis riscos de segurança. No entanto, a julgar pela informação pública actual, ainda existem muitas incertezas sobre como este projecto irá manter a operação a longo prazo e se será expandido para uma escala maior no futuro.
O software de código aberto é considerado a “base” digital da atual indústria de software comercial. No entanto, devido ao ecossistema altamente fragmentado e à fraca supervisão, um número considerável destes projectos não apresenta problemas de segurança suficientes. Uma vez exposta uma vulnerabilidade grave num componente de código aberto amplamente utilizado, as consequências podem espalhar-se rapidamente para um grande número de sistemas comerciais. O incidente de vulnerabilidade log4j, anteriormente amplamente divulgado, é um caso típico.
A recente controvérsia em torno da ferramenta de segurança Mythos da Anthropic decorre do fato de que sistemas de IA semelhantes foram capazes de encontrar automaticamente vulnerabilidades em bases de código e tentar gerar explorações. Embora a automatização do crime cibernético não seja nova, estas novas ferramentas reduziram, sem dúvida, significativamente o limiar para que agentes maliciosos lancem ataques. Desta vez, a OpenAI está tentando “utilizar reversamente” tecnologias semelhantes e usar IA para ajudar a comunidade de código aberto a se proteger. Do mundo exterior, esta não é apenas uma resposta competitiva ao Antrópico, mas também um problema de longo prazo no mundo do código aberto em termos de capacidades e recursos de segurança.