.png&w=96&q=75){kind=small}
OpenAIは、Trail of Bitsと協力してオープンソースソフトウェアの脆弱性対応を支援する「Patch the Planet」を発表した。AI支援のセキュリティ調査と専門家レビューを組み合わせ、脆弱性の発見だけでなく、パッチ作成、テスト、協調的開示まで支える取り組みだ。
AIで脆弱性発見が加速する一方、保守者には報告の確認、重複排除、優先度判断、修正作業の負担が集中しやすい。今回の取り組みは、AIセキュリティを「検出の自動化」から「修正まで含む運用支援」へ進めるものとして注目される。
対象は広く使われる基盤プロジェクト
初期参加プロジェクトには、cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go、freenginx、Python、python.orgなどが含まれる。ネットワーク、暗号、ソフトウェアサプライチェーン、言語基盤に関わるプロジェクトであり、改善の波及効果は大きい。
OpenAIは、研究者がfrontier modelsとCodex Securityを使い、解析、パッチ開発、テスト、文書化を支援すると説明している。参加プロジェクトにはChatGPT Pro、条件付きのCodex Security、APIクレジットも提供される。
工程 | 従来の課題 | 今回の支援 |
|---|---|---|
発見 | 報告が増え保守者が捌ききれない | AIと専門家で候補を検証 |
修正 | 再現、パッチ、テストに時間がかかる | パッチ開発とテストを支援 |
継続改善 | 一度きりの修正で終わりやすい | fuzzingやCVE分析の再利用ワークフローを構築 |
数週間の作業を短縮する可能性
Trail of Bitsは、19のオープンソースプロジェクトに専任エンジニアを置き、CodexとGPT‑5.5‑Cyberを使った初期スプリントで、数百件のセキュリティ課題を特定し、数十件のパッチをマージしたとしている。さらに、fuzzing harness、過去CVE分析パイプライン、差分テスト、脅威モデル、false positiveフィルタリングなどの基盤も構築した。
特に、fuzzing labを1日未満で構築した例は重要だ。通常なら数週間かかる可能性がある実験環境の整備を、AIがエントリーポイント探索やテスト候補拡張を補助することで短縮できる。
企業にも関係するOSSリスク
日本企業のシステムも、多数のOSSに依存している。AIが脆弱性を見つける速度だけが上がると、保守者と利用企業の対応負荷はむしろ増える。重要なのは、検出結果を修正可能なパッチ、再現テスト、運用改善に変えることだ。
一方で、AIによるセキュリティ調査は誤検知や過剰報告のリスクもある。OpenAIが専門家レビュー、保守者との事前相談、協調的開示を重視している点は、AIセキュリティを実務に入れるうえで欠かせない設計といえる。
参考:OpenAI公式発表
.png&w=384&q=75)
