В понедельник компания OpenAI объявила о новой инициативе, призванной помочь сообществу разработчиков с открытым исходным кодом повысить уровень кибербезопасности и устранить уязвимости.
В рамках инициативы Patch the Planet (название которой является не слишком тонким отсылом к Hack the Planet — культовому слогану из фильма «Хакеры» 1995 года) OpenAI объединится с компанией Trail of Bits, специализирующейся на безопасности, чтобы помочь разработчикам открытого программного обеспечения обеспечить Безопасность своих проектов.
OpenAI сообщила, что специалисты по безопасности из Trail of Bits будут напрямую взаимодействовать с разработчиками открытого ПО для выявления потенциальных проблем в коде. В этом процессе будут задействованы инструменты безопасности OpenAI, такие как Codex Security.
Как сообщила OpenAI в понедельник, многим разработчикам уже приходится обрабатывать все больше сообщений о проблемах все быстрее, при том же ограниченном времени и ресурсах. Проект Patch the Planet создан для того, чтобы снизить эту нагрузку, а не усугубить её: инженеры по безопасности анализируют обнаруженные проблемы до того, как они дойдут до разработчиков, сотрудничают с проектами для разработки исправлений и тестов, а также создают повторно используемые рабочие процессы, которые помогают командам продолжать улучшать безопасность после внедрения первых исправлений.
Другими словами, инженеры Trail of Bits будут действовать примерно как «скорая помощь» для кода — они будут помогать разработчикам проектов с открытым исходным кодом выявлять и классифицировать потенциальные проблемы, при этом вся работа будет поддерживаться программным обеспечением OpenAI. Это звучит как амбициозный проект, и пока не совсем ясно, как он будет функционировать в долгосрочной перспективе и как планируется его масштабирование (если оно вообще предусмотрено).
Проекты с открытым исходным кодом — это цифровой фундамент, на котором держится индустрия коммерческого программного обеспечения, но, к сожалению, из-за децентрализованной и плохо контролируемой структуры этой экосистемы большая часть программного обеспечения является небезопасной. Ошибки в проектах с открытым исходным кодом могут превратиться в серьезные проблемы для коммерческих кодовых баз. Хорошим примером является скандал с log4j, произошедший несколько лет назад, когда в широко используемой утилите с открытым исходным кодом была обнаружена опасная уязвимость.
Большая часть опасений, связанных с такими инструментами, как Mythos (широко разрекламированный инструмент безопасности компании Anthropic), по-видимому, проистекает из того факта, что ИИ теперь может автоматически выявлять существующие ошибки в кодовых базах и приступать к созданию эксплойтов для них. Хотя автоматизация киберпреступности не является чем-то новым, эти инструменты, несомненно, способны значительно облегчить жизнь злоумышленникам.
Комментарии (0)