OpenAI запустила инициативу по поиску и устранению уязвимостей в open-source

OpenAI объявила о запуске новой инициативы, направленной на поиск и исправление уязвимостей в проектах с открытым исходным кодом. По заявлению компании, программа призвана решить системную проблему безопасности для всего open-source сообщества.

Почему open-source небезопасен

Open-source программное обеспечение — невидимый фундамент современного интернета. Оно лежит в основе серверов, облачных платформ, баз данных, AI-фреймворков и инструментов разработки. По различным оценкам, более 90% коммерческих приложений в той или иной мере используют компоненты с открытым кодом — но платят за их поддержку единицы. Проблема в том, что за безопасностью этих компонентов следит куда меньше людей, чем за проприетарными продуктами. Многие критические проекты поддерживаются одним-двумя разработчиками-волонтёрами, у которых нет ресурсов для систематического аудита безопасности. Одна уязвимость в популярной библиотеке может одновременно затронуть миллионы продуктов — именно так произошло с Log4Shell в 2021 году, когда критическая дыра в Java-библиотеке поставила под угрозу сотни тысяч систем по всему миру.

Что делает

OpenAI OpenAI планирует задействовать свои AI-инструменты для систематического анализа кода и поиска потенциальных проблем безопасности в open-source проектах. Согласно первоначальным сообщениям, инициатива охватывает несколько направлений: Автоматизированный статический анализ репозиториев с открытым кодом Координированное раскрытие обнаруженных уязвимостей — с заблаговременным уведомлением мейнтейнеров до публикации Практическая помощь разработчикам в написании и тестировании патчей Взаимодействие с программами Bug Bounty и ответственного раскрытия * Особый фокус на проектах, критически важных для AI-инфраструктуры Использование AI для поиска уязвимостей — логичный шаг: языковые модели уже умеют анализировать код, выявлять подозрительные паттерны и генерировать гипотезы об ошибках быстрее любого человека-аудитора. Инструменты вроде Codex и GPT-серии уже применяются в коммерческих сканерах безопасности — теперь OpenAI направляет их мощь на открытый код.

Контекст и конкуренты OpenAI — не первопроходец в области open-source безопасности.

Google с 2016 года финансирует проект OSS-Fuzz, который автоматически тестирует open-source проекты методом фаззинга и обнаружил более 10 000 уязвимостей. Microsoft инвестировала в инструменты безопасности для GitHub и запустила CodeQL — систему статического анализа кода. Linux Foundation совместно с OpenSSF координирует защиту наиболее критических open-source проектов.

Однако AI-компании до сих пор редко брали на себя такую ответственность напрямую. Инициатива появляется на фоне растущего давления на отрасль: технологические гиганты активно используют open-source как основу своих продуктов, но их вклад в безопасность экосистемы исторически несоразмерен масштабам потребления. Для OpenAI есть и прагматичный мотив.

Большинство AI-фреймворков, на которых строятся продукты компании — PyTorch, Triton, различные библиотеки для работы с данными — это open-source проекты. Уязвимость в них напрямую бьёт по надёжности собственных сервисов.

Что это значит

Если инициатива окажется масштабной и результативной, она может стать прецедентом для всей AI-отрасли: сигналом о том, что компании, получающие прибыль от open-source экосистемы, обязаны инвестировать в её безопасность. Следующим шагом может стать давление на Google DeepMind, Anthropic и других крупных игроков — у всех мотивация не меньше. Для самого open-source сообщества это потенциально очень хорошая новость — впервые в игру входят компании с ресурсами и AI-инструментами, соразмерными масштабу проблемы.