Patch the Planet: a Daybreak initiative to support open source maintainers
OpenAIはTrail of Bitsと共同で、重要なオープンソースソフトウェアの脆弱性修正を支援するPatch the Planetを発表しました。
AI支援の脆弱性探索に人間の専門レビューを組み合わせ、発見だけでなく検証、パッチ、テスト、開示までを支援します。
Patch the PlanetはDaybreakの取り組みで、Trail of Bitsに加えHackerOneとCalifも脆弱性トリアージ、協調開示、集中的な発見作業に関与します。
初期参加プロジェクトにはcURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go、freenginx、Python、python.orgが含まれます。
参加プロジェクトにはChatGPT Pro、条件付きのCodex Securityアクセス、APIクレジットが提供され、保守作業、リリースワークフロー、開発自動化に使えます。
Trail of Bitsは19のオープンソースプロジェクトでCodexとGPT-5.5-Cyberを使い、数百件のセキュリティ課題を特定し、すでに数十件のパッチをマージしたとされています。
ファジングラボ構築、過去CVEからの派生脆弱性探索、差分テスト、仕様ベーステスト、脅威モデル、重複排除、誤検知フィルタリングなど、再利用可能なセキュリティ基盤も作られています。
保守者がそのまま大量のAI生成レポートを受け取るのではなく、専門家が再現、重複除去、重大度確認、パッチ作成を行う設計です。無料/有料の一般製品更新ではなく、対象OSS保守者向け支援プログラムです。