// COMPUTERBASE — INTELLIGENZA ARTIFICIALE
Neue Initiative von OpenAI: „Patch the Planet“ soll kritische Open-Source-Software stärken
OpenAI hat mit „Patch the Planet“ eine neue Initiative innerhalb des Daybreak-Programms gestartet, um die Sicherheit kritischer Open-Source-Projekte zu stärken. KI-gestützte Sicherheitsanalysen sollen dabei mit menschlicher Expertise kombiniert werden, um Schwachstellen schneller zu erkennen, zu prüfen und zu beheben.
Ziel des neuen Projekts sei es laut einer Mitteilung von OpenAI, überlastete Maintainer zu entlasten und die Sicherheit der Software-Infrastruktur langfristig zu verbessern. Dabei soll der gesamte Verteidigungszyklus abgedeckt werden, angefangen bei der Entdeckung einer Schwachstelle über deren Validierung und Offenlegung bis hin zur Entwicklung und Bereitstellung von Patches.
Um dies zu erreichen, sollen die Sicherheitsforscher von Trail of Bits, die weltweit führende Plattform für ethisches Hacking und Cyber-Sicherheit HackerOne sowie die Sicherheitsspezialisten von Calif direkt mit den Betreuern von Open-Source-Projekten zusammenarbeiten. Trail of Bits soll dabei die Rolle eines technischen Ersthelfers übernehmen und bei der Priorisierung sowie Analyse potenzieller Sicherheitsprobleme unterstützen.
Mithilfe von OpenAIs Sicherheitswerkzeugen sollen so mögliche Fehler und Schwachstellen identifiziert, bewertet und behoben werden. Statt Maintainer wie üblich mit einer Vielzahl von Meldungen zu überfluten, werden die Ergebnisse im Vorfeld von Experten geprüft. Darüber hinaus sollen Prozesse geschaffen werden, die langfristig zu einer höheren Sicherheit beitragen. Zu den ersten beteiligten Projekten zählen unter anderem cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, das Go-Projekt, freenginx, Python und python.org.
Im Raum steht allerdings die Frage, wie sich das Projekt langfristig skalieren lässt und wie viele Projekte gleichzeitig betreut werden können. Nach Angaben von OpenAI arbeitet Trail of Bits inzwischen mit GPT-5.5-Cyber und Codex an insgesamt 19 Open-Source-Projekten, um Bedrohungsmodelle, Angriffstaxonomien sowie invariante und eigenschaftsbasierte Tests zu entwickeln, die auf Projektspezifikationen und RFCs basieren. Auf diesem Weg sollen bereits mehrere hundert Sicherheitsprobleme entdeckt worden sein.
Darüber hinaus entstanden binnen kürzester Zeit wiederverwendbare Werkzeuge wie Fuzzing-Umgebungen, Testsysteme, Bedrohungsmodelle und Pipelines zur Analyse bekannter Sicherheitslücken. Ein vollständiger Fuzzing-Laboraufbau, der üblicherweise mehrere Wochen Entwicklungszeit beanspruchen würde, sei laut OpenAI mithilfe der KI innerhalb eines Tages entstanden. Trail of Bits arbeitet zudem daran, die Tests weiter auszubauen und zu verfeinern.
Eine weitere Entwicklung des Projekts ist ein automatisierter Prozess zur Suche nach Varianten bereits bekannter Schwachstellen. Dafür werden bekannte CVE-Daten analysiert, Muster extrahiert und ähnliche Fehler in aktuellen Code-Basen aufgespürt. Mehrere KI-Agenten filtern anschließend Fehlalarme und Duplikate heraus, bevor die Ergebnisse von Sicherheitsexperten überprüft werden. Jede gemeldete Schwachstelle wird zudem vor der Weitergabe an die Entwickler manuell überprüft, um Fehlalarme zu reduzieren.
Die Teilnehmer des Projekts erhalten von OpenAI zudem Zugang zu ChatGPT Pro, entsprechendes API-Guthaben sowie einen eingeschränkten Zugriff auf Codex Security.
Erste Ergebnisse zahlreicher Untersuchungen hat OpenAI ebenfalls veröffentlicht. So sollen allein im Linux-Kernel mehr als 30 Millionen Zeilen Code untersucht worden sein, wobei GPT-5.5-Cyber dabei zahlreiche sicherheitsrelevante Probleme erkannt und unter anderem acht Proof-of-Concepts für Speicherlecks sowie 24 lokale Privilegien-Eskalationen erzeugt haben soll. Im OpenBSD-Kernel wurde zudem ein 23 Jahre alter Use-after-Free-Fehler entdeckt, der Root-Rechte ermöglichen könnte. Für FreeBSD wurden insgesamt 34 Schwachstellen bestätigt und sieben lokale Privilegien-Eskalationen demonstriert.
Auch im Browser-Bereich war Daybreak erfolgreich: Innerhalb einer Woche wurden allein fünf ausnutzbare S