// LINUX-MAGAZIN — LINUX & OPEN SOURCE
OpenAIs Initiative “Patch the Planet” will helfen, Schwachstellen in Open-Source-Software zu beseitigen
(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com
Im Rahmen einer Cybersicherheitskampagne “Daybreak” will OpenAI zusammen mit der New Yorker Cybersicherheitsfirma Trail of Bits Open-Source-Maintainern helfen, in ihrer Software Schwachstellen auszumachen und zu patchen.
KI beschleunigt zwar die Erkennung von Sicherheitslücken, doch die Erkennung allein schützt die Nutzer nicht. Viele Projektbetreuer stehen bereits vor der Herausforderung, mehr Meldungen schneller bearbeiten zu müssen – und das in begrenzter Zeit und mit begrenzten Ressourcen. “Patch the Planet” wurde entwickelt, um diese Belastung zu verringern: Sicherheitsingenieure prüfen die Ergebnisse, bevor sie an die Projektbetreuer weitergeleitet werden, arbeiten mit den Projekten zusammen, um Patches und Tests zu entwickeln, und erstellen wiederverwendbare Arbeitsabläufe, die den Teams helfen, die Sicherheit auch nach der Veröffentlichung der ersten Korrekturen weiter zu verbessern.
Trail of Bits hat seine gesamte Sicherheitsforschungsabteilung für diese erste intensive Phase eingesetzt. Das Team arbeitet direkt mit den Projektbetreuern zusammen, um Schwachstellen zu untersuchen und zu validieren, Patches zu entwickeln und zu testen sowie die Offenlegung von Schwachstellen zu koordinieren. Darüber hinaus arbeitet OpenAI mit HackerOne und Calif zusammen, die ebenfalls dabei unterstützen, Schwachstellen einzustufen, die Offenlegung zu koordinieren und zusätzliche gezielte Maßnahmen weiter voranzutreiben.
Jeder Einsatz im Rahmen von “Patch the Planet” beginnt mit einer Abstimmung mit dem jeweiligen Maintainer, um die Anforderungen und Präferenzen des Projekts zu verstehen und zu ermitteln, wo zusätzliche Sicherheitsmaßnahmen den größten Nutzen bringen würden – sei es bei der Validierung von Schwachstellen, der Entwicklung von Patches, der Optimierung von CI/CD-Prozessen oder bei langfristigen Sicherheitsmaßnahmen.
Zu den ersten Teilnehmern zählen cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, das Go-Projekt, freenginx, Python und python.org. Diese Projekte decken weit verbreitete Bereiche wie Netzwerke, Kryptografie, Software-Lieferkette und Sprachinfrastruktur ab, in denen eine höhere Sicherheit einer Vielzahl von nachgelagerten Produkten und Diensten zugutekommen kann. In zukünftigen Runden werden weitere Projekte hinzukommen.
Die jetzt veröffentlichte Vollversion von OpenAIs neuestem Sicherheitsmodell GPT-5.5 Cyber soll das entsprechende Modell Mythos 5 von Anthropic hinter sich lassen, das eben noch nur ausgewählten Partnern zugänglich gemacht wurde, weil es ansonsten zu gefährlich sei, und das die US-Regierung...
Nordrhein-Westfalen wird Standort einer neuen Einheit innerhalb des European Laboratory for Learning and Intelligent Systems (ELLIS), einem der führenden europäischen Netzwerke für KI-Forschung. Die neu genehmigte ELLIS Unit NRW vernetzt führende KI-Forschende und leistungsstarke...
Als Highlight des Updates auf Mastodon 4.6 sehen die Entwickler die Funktion Collections, mit denen Nutzer kuratierte Profilsammlungen erstellen und teilen können.
Die Software Freedom Conservancy (SFC) hat Empfehlungen zur Nutzung von LLM-gestützten generativen KI-Systemen für FOSS-Beiträge veröffentlicht. Das Copyleft- und Software-Right-to-Repair-Team der SFC hat diese Richtlinienempfehlungen in Zusammenarbeit mit einem Team von Freiwilligen aus der...