随着外界对 AI 恶意入侵能力的担忧日益加剧,OpenAI 于本周一发布了一系列专注于网络安全的重大声明。这其中包括升级其限制访问的专业安全模型 GPT-5.5-Cyber、扩大与全球政府和机构的国际合作以提供“信任访问”,以及将其 Codex Security 漏洞扫描器作为应用插件正式发布。
然而,随着 AI 技术的迅猛发展,关键的开源项目正面临由于资源匮乏而在安全防护上面临掉队的风险。为此,#OpenAI 宣布启动了一项名为 Patch the Planet(修补地球)的全新计划。该项目由 OpenAI 与著名安全研究公司 Trail of Bits 联合发起,并与漏洞管理平台 HackerOne 及 Calif 展开紧密合作。
该计划目前已开始向开源项目维护者提供免费的安全咨询服务。这不仅旨在帮助他们发现和修补漏洞,还支持他们增强底层代码库,并将 AI 安全工具无缝融入到日常开发流程中。其核心愿景是为尽可能多的开源项目提供定制化支持,以一种真正可持续的方式提升其当前的安全性及长期抗风险能力。
对于开源开发者(通常是在极少资源下维持关键软件运转的志愿者)来说,他们本就一直在艰难地应对海量的漏洞报告。近几个月来,AI 漏洞挖掘工具的兴起更是让这一积压工作变得不可逾越。由于大量 AI 自动生成的垃圾漏洞报告(Slop Reports)堆积如山,维护者们很难分清主次,这严重分散了他们处理真正关键缺陷的有限精力和时间。
OpenAI 網絡安全技术负责人 Fouad Matin 表示,通过 Patch the Planet 计划,他们实际上从 Token 效率的角度做到了极致优化,从而最大程度减轻维护者的负担——包括代码库评估、验证潜在漏洞报告、创建补丁并最终落地。Matin 还透露,自今年早些时候开启研究预览以来,OpenAI 已经为开源和私有代码的 Codex Security 扫描器提供了高达 20万亿 token 的使用补贴。
目前,已有 30 多个开源项目加入了该计划。为了推动项目落地,Trail of Bits 最近开展了为期五天的启动冲刺,动用了 25 名安全工程师(约占其员工总数的五分之一)协作开展安全审计与修补工作。
随着 Devin、Cursor 等 AI 编码智能体(AI Coding Agents)的爆发,软件开发正以前所未有的速度自动化,但这也导致了 AI 恶意生成和挖掘漏洞的“攻防失衡”。开源社区被 AI 生成的垃圾报告淹没,本质上是“恶意/无序 Agent”对人类维护者发起的信息过载攻击。OpenAI 此次推出的 Patch the Planet 计划,本质上是试图通过提供高能效的 GPT-5.5-Cyber 以及重资助的 Token 资源,构建起防御端的“AI 自动修补智能体”。这标志着 AI 安全生态正在从“人类筛选 AI 漏洞”向“AI 智能体自主发现、验证并自动闭环修补(Self-healing)”的下一代主动防御范式演进。未来的 AI Agent 生态中,安全防御 Agent 将成为维护整个开源软件供应链韧性的不可或缺的底层基础设施。
