OpenAI は Patch the Planet を発表し、初週に数百の脆弱性が 19 のオープンソースプロジェクトをカバーした

OpenAI は 6 月 23 日に「Patch the Planet」計画を発表し、世界の主要なオープンソース・プロジェクトに対して体系的なセキュリティの脆弱性スキャンを行いました。OpenAI の発表によれば、初週には数百件のセキュリティ脆弱性を発見し、64 件の pull requests を提出し、51 件の issues を作成しました。対象は cURL、Python、PyPI など 19 のオープンソース・プロジェクトにまたがります。

Patch the Planet の協力パートナー、AI ツールと参加者向けリソースパック

（出典：OpenAI 公式サイト）

OpenAI の発表によると、計画の協力パートナーは Trail of Bits（セキュリティ企業）、HackerOne（脆弱性報奨プラットフォーム）、および Calif です。提供される 2 つの AI ツールは Codex Security と GPT-5.5-Cyber です。

参加者向けリソースには、ChatGPT Pro のアクセス権、Codex Security の条件付きアクセス、API credits、ならびにセキュリティ基盤（fuzzing harnesses〔プログラムにランダムな入力を自動で与えて潜在的なバグをあぶり出すためのテスト用フレームワーク〕、過去の CVE 分析パイプライン、差分テストシステム、脅威モデル、拡張テストスイート）などが含まれます。

最初の 19 のターゲット対象オープンソース・プロジェクトと初週の定量的成果

OpenAI の発表によると、最初の波で対象となる 19 のオープンソース・プロジェクトには、cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto、そして python.org などが含まれます。

初週の定量的成果（出典：OpenAI 公告）： 数百件のセキュリティ脆弱性を発見。64 件の pull requests を提出。51 件の issues を作成。上記の成果は 19 のプロジェクトの合計であり、個々のプロジェクトにおける脆弱性の内訳は、現時点の公告の中では一つずつ開示されていません。

オープンソースのセキュリティ上のジレンマと log4j の歴史的背景

log4j の脆弱性事件（2021 年 12 月）： Apache log4j は Java エコシステムで広く使われているログのツールであり、そのセキュリティ脆弱性は米国のサイバーセキュリティおよびインフラストラクチャセキュリティ局（CISA）によって「史上最も深刻な脆弱性の一つ」と称されています。

構造的な問題（原文著者の分析）： 原文は、オープンソース・エコシステムのセキュリティ問題の本質は人手の問題だと指摘しています。世界には数十万のオープンソース・パッケージがある一方で、維持管理者は往々にして 1 人か 2 人程度で、すべてのコードに対して完全なセキュリティ監査を行うことができません。脆弱性は、出てから長年が経った後にようやく見つかることも多いとされています。原文の分析枠組みは、AI の強みは天才級の脆弱性を見つけることではなく、人手だけでは維持できない密度で大量のコードベースを継続的にスキャンできる点にある、というものです。以上は原文著者の見解であり、OpenAI の公式な論説ではありません。

よくある質問

Patch the Planet の初週の定量的成果はどの組織が開示しましたか？

「数百件の脆弱性、64 件の pull requests、51 件の issues」という数字は OpenAI の公式公告に由来しており、19 のオープンソース・プロジェクトの合計です。各オープンソース・プロジェクトがこれらの修正を受け入れ、取り込んだかどうかは、各プロジェクトのリポジトリの更新記録に基づいて確認する必要があります。

Codex Security と GPT-5.5-Cyber の違いは何ですか？

OpenAI の公告によれば、両者は計画が提供する 2 つの異なる AI セキュリティツールです。Codex Security のアクセス方法は「条件付きアクセス」とされ、GPT-5.5-Cyber は更新版の AI ツールです。具体的な機能差や技術仕様については、現時点の公告では詳細に説明されていません。

なぜ OpenAI は cURL や Python のような広く使われている基盤を、他のプロジェクトではなく選んだのですか？

原文は、これらは「現代のインターネット全体の基盤」です。cURL の世界的な導入台数は 200 億台超のデバイスに及ぶと見積もられています。このような幅広い基盤において見つかる脆弱性は、ニッチなツールに比べて潜在的な影響範囲がはるかに大きくなります。これは原文著者による選定基準の解釈であり、OpenAI の公式な選定説明ではありません。