OpenAI ra mắt Patch the Planet, tuần đầu phát hiện hàng trăm lỗ hổng ảnh hưởng đến 19 dự án mã nguồn mở

OpenAI vào ngày 23 tháng 6 đã công bố kế hoạch “Patch the Planet”, thực hiện quét bảo mật có hệ thống đối với các dự án mã nguồn mở cốt lõi trên toàn cầu. Theo thông báo của OpenAI, trong tuần đầu tiên, kế hoạch phát hiện hàng trăm lỗ hổng bảo mật, gửi 64 pull requests, mở 51 issues, trải rộng qua 19 dự án mã nguồn mở như cURL, Python, PyPI.

Đối tác, công cụ AI và gói tài nguyên tham gia của Patch the Planet

(Nguồn: trang web của OpenAI)

Theo thông báo của OpenAI, các đối tác của kế hoạch gồm Trail of Bits (công ty an ninh mạng), HackerOne (nền tảng thưởng lỗ hổng) và Calif; hai công cụ AI được cung cấp là Codex Security và GPT-5.5-Cyber.

Tài nguyên dành cho người tham gia bao gồm: quyền truy cập ChatGPT Pro; truy cập theo điều kiện với Codex Security; API credits; cùng hạ tầng an ninh (fuzzing harnesses〔khung kiểm thử giúp chương trình tự động nạp đầu vào ngẫu nhiên để khai thác các lỗi tiềm ẩn〕, pipeline phân tích CVE lịch sử, hệ thống kiểm thử phân sai, mô hình mối đe dọa và bộ mở rộng kiểm thử).

19 dự án mã nguồn mở mục tiêu đợt đầu và kết quả định lượng tuần đầu

Theo thông báo của OpenAI, 19 dự án mã nguồn mở nằm trong đợt phủ sóng đầu tiên gồm: cURL, Python, PyPI, urllib3, aiohttp, Go project, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto và python.org…

Kết quả định lượng tuần đầu (nguồn: thông báo OpenAI): phát hiện hàng trăm lỗ hổng bảo mật; gửi 64 pull requests; mở 51 issues. Các kết quả trên là tổng hợp cho cả 19 dự án, còn phân bổ lỗ hổng theo từng dự án riêng lẻ không được công bố chi tiết trong thông báo hiện có.

Bế tắc an ninh mã nguồn mở và bối cảnh lịch sử của log4j

Sự kiện lỗ hổng log4j (12/2021): Apache log4j là công cụ ghi nhật ký được sử dụng rộng rãi trong hệ sinh thái Java, và các lỗ hổng của nó được CISA (Cơ quan An ninh mạng và Hạ tầng mạng của Mỹ) gọi là “một trong những lỗ hổng nghiêm trọng nhất từ trước đến nay”.

Vấn đề mang tính cấu trúc (phân tích của tác giả bài viết gốc): bài viết gốc cho biết, vấn đề an ninh của hệ sinh thái mã nguồn mở về bản chất là vấn đề nhân lực: trên toàn cầu có hàng chục nghìn gói mã nguồn mở, nhưng người duy trì thường chỉ có một hoặc hai người, không thể thực hiện kiểm toán bảo mật đầy đủ cho toàn bộ mã; lỗ hổng thường chỉ được phát hiện sau nhiều năm. Khung phân tích của bài viết gốc là: lợi thế của AI không nằm ở việc tìm ra các lỗ hổng “cỡ thiên tài”, mà ở chỗ duy trì quét với mật độ mà con người không thể duy trì được để rà soát lượng lớn kho mã. Đây là quan điểm của tác giả bài viết gốc, không phải tuyên bố chính thức của OpenAI.

Câu hỏi thường gặp

Kết quả định lượng tuần đầu của Patch the Planet được tiết lộ bởi bên nào?

Các con số “hàng trăm lỗ hổng, 64 pull requests, 51 issues” đến từ thông báo chính thức của OpenAI và là tổng hợp cho 19 dự án mã nguồn mở. Việc từng dự án mã nguồn mở có chấp nhận và hợp nhất các bản vá này hay không cần đối chiếu theo lịch sử cập nhật trong kho phiên bản của từng dự án.

Codex Security và GPT-5.5-Cyber khác nhau như thế nào?

Theo thông báo của OpenAI, cả hai là hai công cụ AI an ninh khác nhau do kế hoạch cung cấp; cách thức truy cập của Codex Security được ghi là “truy cập theo điều kiện”, còn GPT-5.5-Cyber là công cụ AI phiên bản cập nhật. Các khác biệt chức năng cụ thể và thông số kỹ thuật không được trình bày chi tiết trong thông báo hiện có.

Tại sao OpenAI chọn các nền tảng hạ tầng phổ biến như cURL, Python thay vì các dự án khác?

Bài viết gốc cho biết đây là “hạ tầng của toàn bộ Internet hiện đại”; số lượng cài đặt toàn cầu của cURL được ước tính vượt quá 20 tỷ thiết bị. Trong các hạ tầng có phạm vi phổ biến như vậy, lỗ hổng được phát hiện có khả năng tác động ở quy mô lớn hơn nhiều so với các công cụ ngách; đây là cách lý giải của tác giả bài viết gốc về tiêu chí lựa chọn, không phải phần mô tả lựa chọn chính thức của OpenAI.