OpenAIがオープンソースのバグ発見・パッチ提供を支援する新イニシアティブを開始
原題: OpenAI launches new initiative to help find and patch open source bugs
なぜ重要か
オープンソースソフトウェアのセキュリティはデジタル経済全体の基盤であり、AIを活用した脆弱性発見・修正の自動化は業界全体のセキュリティ向上に重要。同時にAIセキュリティ分野での競争状況を示す。
OpenAIは6月22日、オープンソースコミュニティのサイバーセキュリティ向上を支援する新イニシアティブ「Patch the Planet」を発表。Trail of Bitsというセキュリティ企業と協力し、OpenAIのセキュリティツール(Codex Securityなど)を使用してオープンソース保守者が潜在的なコード問題を特定・トリアージするのを支援する。
OpenAIが発表した「Patch the Planet」は、オープンソースコミュニティが自身のプロジェクトを保護するのを支援する新しい取り組み。Trail of Bitsのセキュリティスタッフがオープンソース保守者と直接協力し、潜在的なコード問題をレビューする。
このイニシアティブの特徴として、OpenAIは以下の点を強調している。多くの保守者は限られた時間とリソースの中で、増加する報告件数をより迅速に処理するよう求められている状況にある。「Patch the Planet」はこの負担を軽減することを目的に、セキュリティエンジニアが発見事項をレビューしてから保守者に報告し、プロジェクトと協力してパッチとテストを開発し、最初の修正後も継続的なセキュリティ向上を支援する再利用可能なワークフローを構築するという。
Trail of Bitsのエンジニアは、オープンソースプロジェクト保守者が潜在的な問題を特定・優先順位付けするのを支援する「コード版救急隊員」のような役割を果たすことになる。
オープンソースプロジェクトは商用ソフトウェア産業の基盤であるが、分散型で監視体制が不十分なエコシステムの構造のため、多くのソフトウェアがセキュリティ面で脆弱である。数年前のlog4jの脆弱性事例など、オープンソースプロジェクトのバグが商用コードベースに大きな問題をもたらす可能性がある。
AIツールが既存のコードバグを自動的に特定し、エクスプロイトを作成するツール(AnthropicのMythosなど)への懸念が増している中、OpenAIはこの技術を逆に活用し、オープンソースコミュニティが自身を保護するのを支援している。