OpenAI推出Patch the Planet计划 用AI加速开源安全修补

背景与目标

OpenAI在2026年推出的Daybreak项目旨在探索前沿模型在安全领域的实际价值。Patch the Planet是该项目的首个落地计划，聚焦开源软件的漏洞发现、验证、修补以及后续的安全治理。通过把AI的高速发现能力与经验丰富的安全工程师相结合，计划希望在保持维护者主导权的前提下，大幅压缩漏洞从发现到修复的时间窗口。

工作流程

• 需求对接：每次合作从与项目维护者的咨询开始，明确是需要漏洞验证、补丁编写、CI/CD改进还是长期安全支援。
• AI驱动研究：安全工程师使用OpenAI的前沿模型（GPT‑5.5‑Cyber、Codex Security）进行代码审计、模糊测试和历史CVE模式挖掘。
• 人工复核：Trail of Bits的安全团队对模型产出的每一条潜在漏洞进行复现、误报过滤和严重性评估，确保只将高置信度的结果提交给维护者。
• 补丁开发与测试：在确认问题后，研究员利用AI生成补丁代码并在项目的CI管道中自动化回归测试。
• 协同披露：完成验证后，按照项目既定的披露流程发布安全公告，维护者自行决定补丁上线时机。

初期成果

在首轮19个开源项目的合作中，Patch the Planet已经实现以下突破：

• 漏洞规模：模型在Linux内核超过3000万行代码中自动定位出8个指针信息泄露POC和24个本地提权漏洞。
• 跨平台发现：OpenBSD、FreeBSD、dnsmasq、Chrome V8、Safari WebKit等关键组件均被发现并及时修复。
• 效率提升：利用GPT‑5.5‑Cyber构建的模糊测试实验室从搭建到可运行仅用一天时间，传统手工流程需数周。
• 可复用流水线：团队交付了历史CVE分析管道、差分测试框架以及自动化去重/误报过滤工具，为后续项目提供即插即用的安全基础设施。

合作伙伴与资源支持

• Trail of Bits：全体安全研究组织加入本计划，提供专业审计与漏洞披露经验。
• HackerOne & Calif：负责漏洞分流、协调披露以及针对性漏洞挖掘。
• 项目方支持：cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go 项目、freenginx、Python 官方仓库等均获得ChatGPT Pro使用权、Codex Security 条件访问以及API额度，用于自动化工作流和补丁迭代。

影响与展望

Patch the Planet展示了前沿大模型在安全生态中的实用价值：不仅能加速漏洞发现，还能通过可重复的工作流降低维护者的审计成本。随着更多项目加入，OpenAI计划公开技术报告，分享方法论，帮助全球安全团队复制该模型‑人协同模式。长远来看，该计划有望形成开源安全的共享防御网络，让AI真正成为提升公共软件可靠性的底层动力。

“AI可以发现漏洞，但只有人类的专业判断才能确保修补的安全性。”——OpenAI安全团队负责人