OpenAI a annoncé lundi le lancement d'un nouveau programme appelé "Patch the Planet" pour aider la communauté open source à améliorer la cybersécurité et à trouver et corriger les vulnérabilités du code. Le nom est un hommage évident à la célèbre phrase « Hack the Planet » du film de hackers de 1995 Hackers.
Selon l'introduction, OpenAI coopérera avec la société de sécurité Trail of Bits, et les ingénieurs de sécurité de cette dernière se connecteront directement avec les responsables du projet open source pour examiner les problèmes de code potentiels et appeler les propres outils de sécurité d'OpenAI, tels que Codex Security, dans le processus. OpenAI affirme que de nombreux responsables sont déjà confrontés à la double pression de « volumes de rapports explosifs et de délais de traitement constants », et que « Patch the Planet » vise à réduire ce fardeau plutôt que de l'augmenter. Les ingénieurs de Trail of Bits examineront et examineront les problèmes avant qu'ils ne soient transmis aux responsables, puis travailleront avec le projet pour développer des plans de correctifs et de tests, et créeront des flux de travail de sécurité réutilisables pour aider l'équipe à continuer d'améliorer la sécurité après la première série de correctifs.
En utilisant la métaphore de l'entreprise, le rôle de Trail of Bits s'apparente davantage à un « code EMT » : utiliser les capacités du logiciel OpenAI pour aider les responsables de l'open source à identifier et à gérer hiérarchiquement les risques de sécurité potentiels. Cependant, à en juger par les informations publiques actuelles, de nombreuses incertitudes subsistent quant à la manière dont ce projet continuera à fonctionner à long terme et s'il sera étendu à une plus grande échelle à l'avenir.
Les logiciels open source sont considérés comme le « fondement » numérique de l’industrie actuelle du logiciel commercial. Cependant, en raison de l’écosystème très fragmenté et de la faiblesse de la supervision, un nombre considérable de ces projets ne présentent pas suffisamment de problèmes de sécurité. Lorsqu’une vulnérabilité grave est exposée dans un composant open source largement utilisé, les conséquences peuvent rapidement s’étendre à un grand nombre de systèmes commerciaux. L’incident de vulnérabilité log4j, largement médiatisé, est un cas typique.
La récente controverse autour de l’outil de sécurité Mythos d’Anthropic vient du fait que des systèmes d’IA similaires ont été capables de trouver automatiquement des vulnérabilités dans les bases de code et d’essayer de générer des exploits. Même si l’automatisation de la cybercriminalité n’est pas nouvelle, ces nouveaux outils ont sans aucun doute considérablement abaissé le seuil permettant aux acteurs malveillants de lancer des attaques. Cette fois, OpenAI tente d’« utiliser à l’envers » des technologies similaires et d’utiliser l’IA pour aider la communauté open source à se protéger. Du point de vue du monde extérieur, il s’agit non seulement d’une réponse compétitive à Anthropic, mais aussi d’un problème à long terme dans le monde open source en termes de capacités et de ressources de sécurité.