OpenAI 推出 Patch the Planet，首週發現數百漏洞覆蓋 19 個開源專案

OpenAI 於 6 月 23 日宣布「Patch the Planet」計畫，對全球核心開源專案進行系統性安全掃描。據 OpenAI 的公告，計畫首週發現數百個安全漏洞、提交 64 個 pull requests、開立 51 個 issues，橫跨 cURL、Python、PyPI 等 19 個開源專案。

Patch the Planet 的合作方、AI 工具與參與者資源包

（來源：OpenAI 網站）

根據 OpenAI 的公告，計畫的合作夥伴為 Trail of Bits（資安公司）、HackerOne（漏洞獎勵平台）及 Calif；提供的兩款 AI 工具為 Codex Security 和 GPT-5.5-Cyber。

參與者資源包括：ChatGPT Pro 存取權限；Codex Security 條件存取；API credits；以及安全基礎設施（fuzzing harnesses〔讓程式自動餵隨機輸入以逼出潛藏 bug 的測試框架〕、歷史 CVE 分析管線、差分測試系統、威脅模型和擴充測試套件）。

首波 19 個目標開源專案與第一週量化成果

根據 OpenAI 的公告，首波覆蓋的 19 個開源專案包括：cURL、Python、PyPI、urllib3、aiohttp、Go project、freenginx、NATS、pyca、Sigstore、SimpleX、Valkey、RustCrypto 和 python.org 等。

第一週量化成果（來源：OpenAI 公告）： 發現數百個安全漏洞；提交 64 個 pull requests；開立 51 個 issues。上述成果為 19 個專案的整體合計，個別專案的漏洞分佈未在現有公告中逐一披露。

開源資安困境與 log4j 的歷史背景

log4j 漏洞事件（2021 年 12 月）： Apache log4j 是 Java 生態系中廣泛使用的日誌工具，其安全漏洞被美國網路安全暨基礎設施安全局（CISA）稱為「有史以來最嚴重的漏洞之一」。

結構性問題（原文作者分析）： 原文指出，開源生態的資安問題本質上是人力問題：全球數十萬個開源套件，維護者往往只有一兩個人，無法對所有程式碼進行完整的安全審計；漏洞往往在出現多年後才被發現。原文的分析框架是，AI 的優勢不在於找到天才級漏洞，而在於以人力無法維持的密度持續掃描大量程式碼庫。以上為原文作者的觀點，並非 OpenAI 的官方論述。

常見問題

Patch the Planet 首週的量化成果由哪方披露？

「數百個漏洞、64 個 pull requests、51 個 issues」的數字來自 OpenAI 的官方公告，是 19 個開源專案的整體合計。各個開源專案是否已接受並合併這些修補，需以各自專案的版本庫更新記錄為準。

Codex Security 和 GPT-5.5-Cyber 有何區別？

根據 OpenAI 公告，兩者是計畫提供的兩款不同 AI 資安工具；Codex Security 的存取方式標注為「條件存取」，GPT-5.5-Cyber 為更新版 AI 工具。具體功能差異和技術規格未在現有公告中詳細說明。

為什麼 OpenAI 選擇 cURL、Python 這類廣泛使用的基礎設施而非其他專案？

原文指出，這些是「整個現代網際網路的基礎設施」；cURL 的全球安裝量估計超過 200 億臺裝置。在此類廣泛基礎設施中發現的漏洞，潛在影響範圍遠大於小眾工具，這是原文作者對選擇標準的解讀，並非 OpenAI 的官方選擇說明。