OpenAI wil open-source beveiliging versterken met initiatief ‘Patch the Planet’

Open-source software vormt de basis van een groot deel van de moderne digitale infrastructuur. Toch zijn veel van deze projecten afhankelijk van een relatief kleine groep vrijwilligers en maintainers, die naast hun dagelijkse werkzaamheden verantwoordelijk zijn voor onderhoud, bugfixes en beveiliging. De opkomst van generatieve AI heeft die situatie niet altijd verbeterd. Integendeel: steeds meer projectbeheerders melden een sterke toename van AI-gegenereerde kwetsbaarheidsrapporten en voorgestelde patches die vaak onnauwkeurig, onvolledig of simpelweg onbruikbaar zijn.

Om die problematiek aan te pakken heeft OpenAI binnen zijn Daybreak-programma een nieuw initiatief gelanceerd: Patch the Planet. Het project moet ervoor zorgen dat geavanceerde AI-systemen niet langer extra werk veroorzaken voor open-source ontwikkelaars, maar juist een praktische bijdrage leveren aan de beveiliging van essentiële software.

Van AI-overlast naar gerichte samenwerking

In de afgelopen jaren zijn open-source maintainers geconfronteerd met een golf aan automatisch gegenereerde meldingen van vermeende beveiligingsproblemen. Hoewel AI veel potentieel heeft om kwetsbaarheden op te sporen, leveren dergelijke systemen vaak grote aantallen valse positieven op. Daarnaast worden maintainers regelmatig overspoeld met pull requests die onvoldoende zijn getest of geen daadwerkelijke oplossing bieden.

Patch the Planet probeert dat probleem fundamenteel anders aan te pakken. In plaats van willekeurige AI-gegenereerde bijdragen naar projecten te sturen, wordt gekozen voor een gecoördineerde samenwerking tussen securityonderzoekers, OpenAI-engineers en de maintainers zelf.

Binnen deze samenwerking kunnen deelnemers gezamenlijk:

• mogelijke kwetsbaarheden beoordelen;
• foutieve meldingen filteren;
• bestaande beveiligingsprocessen verbeteren;
• CI/CD-pijplijnen optimaliseren;
• testprocedures uitbreiden;
• en prioriteiten bepalen op basis van de behoeften van het betreffende project.

Daardoor blijft de menselijke expertise van de maintainers centraal staan, terwijl AI vooral dient als hulpmiddel om repetitieve en tijdrovende taken te versnellen.

Onderdeel van het Daybreak-programma

Patch the Planet maakt deel uit van OpenAI's bredere Daybreak-initiatief. Binnen dat programma krijgen geselecteerde beveiligingsspecialisten toegang tot een gespecialiseerde versie van OpenAI's meest geavanceerde modellen, gericht op cybersecuritytoepassingen.

Deze modellen zijn bedoeld voor defensieve doeleinden, zoals:

• kwetsbaarheidsanalyse;
• geautomatiseerd testen;
• code-audits;
• en het verbeteren van softwarebeveiliging.

De toegang blijft beperkt en gebeurt onder gecontroleerde voorwaarden. Daarmee wil OpenAI voorkomen dat dergelijke mogelijkheden op grote schaal worden misbruikt voor offensieve doeleinden.

Brede vertegenwoordiging uit de open-sourcewereld

Opvallend aan Patch the Planet is de diversiteit van de deelnemende projecten. Zowel programmeertalen als gespecialiseerde bibliotheken zijn vertegenwoordigd.

Onder meer ontwikkelaars uit de volgende ecosystemen nemen deel:

• Go;
• Python;
• aiohttp;
• pyca/cryptography;
• en cURL.

Vooral de deelname van cURL springt in het oog. Projectoprichter Daniel Stenberg heeft zich de afgelopen jaren herhaaldelijk uitgesproken over de groeiende hoeveelheid AI-gegenereerde kwetsbaarheidsmeldingen die veel extra werk veroorzaken zonder daadwerkelijk de veiligheid te verbeteren.

Een meer gestructureerde samenwerking tussen AI-experts en maintainers kan volgens veel betrokkenen een belangrijke stap zijn om die negatieve ervaringen om te buigen naar concrete meerwaarde.

AI-modellen worden steeds beter in securityonderzoek

Geavanceerde taalmodellen worden steeds vaker ingezet voor beveiligingsonderzoek. Ze kunnen broncode analyseren, patronen herkennen en potentiële zwakke plekken identificeren. De kwaliteit van dergelijke analyses verschilt echter sterk per model.

Veel algemeen beschikbare systemen hebben nog steeds beperkingen:

• ze produceren geregeld valse positieven;
• ze richten zich vooral op reeds bekende kwetsbaarheden;
• of ze controleren simpelweg bestaande databases in plaats van nieuwe problemen daadwerkelijk te ontdekken.

Desondanks nemen de mogelijkheden snel toe. OpenAI stelt dat gespecialiseerde modellen een aanzienlijk deel van het handmatige analysewerk kunnen versnellen.

Grote tijdswinst bij testen en foutopsporing

Een belangrijk voordeel van AI binnen softwarebeveiliging is de aanzienlijke tijdsbesparing.

Technieken zoals fuzzing — waarbij software bewust wordt blootgesteld aan onverwachte, corrupte of gevaarlijke invoer — kunnen veel systematischer worden uitgevoerd dan voorheen. Waar dergelijke testtrajecten traditioneel veel handmatig werk vereisten, kan AI helpen bij het automatisch genereren van testscenario's en het analyseren van de resultaten.

Ook differential testing, waarbij verschillende versies van software met elkaar worden vergeleken om afwijkingen en regressies op te sporen, kan aanzienlijk sneller worden uitgevoerd. Processen die vroeger weken of zelfs maanden in beslag namen, kunnen in sommige gevallen binnen enkele dagen worden afgerond.

Voorbereid op een toekomst met krachtigere AI

De onderliggende gedachte achter Patch the Planet is dat steeds krachtigere AI-systemen onvermijdelijk onderdeel zullen worden van het beveiligingslandschap. Daarom wil OpenAI samen met de open-sourcegemeenschap ervoor zorgen dat kritieke softwareprojecten hierop voorbereid zijn.

In plaats van AI te beschouwen als een extra belasting voor overwerkte maintainers, moet het initiatief aantonen dat menselijke expertise en kunstmatige intelligentie elkaar kunnen aanvullen. De uiteindelijke ambitie is een open-source ecosysteem waarin kwetsbaarheden sneller worden ontdekt, fixes beter worden gevalideerd en ontwikkelaars minder tijd kwijt zijn aan onbruikbare meldingen.

Met Patch the Planet probeert OpenAI de rol van AI binnen cybersecurity daarmee een meer praktische en constructieve invulling te geven.

Door: Drifter