OpenAI и Trail of Bits запустили Patch the Planet для поиска и исправления уязвимостей в open source — ИИ для бизнеса

OpenAI и Trail of Bits запустили Patch the Planet для поиска и исправления уязвимостей в open source

Прослушать статью

«Patch the Planet» сочетает автоматический анализ и экспертную проверку, чтобы находить и устранять уязвимости в ключевых инфраструктурных проектах.

OpenAI запустила программу вместе с компанией по кибербезопасности Trail of Bits, чтобы использовать ИИ для поиска и исправления уязвимостей в широко применяемом open source ПО на фоне растущих рисков от дефектов, скрытых глубоко в цепочках поставок ПО.

Инициатива под названием Patch the Planet использует исследования уязвимостей с помощью ИИ вместе с ручной проверкой, чтобы превращать результаты в протестированные исправления, которые можно раскрывать через существующие каналы проектов.

Среди первых участников — Python, Go, cURL, Sigstore, NATS Server, aiohttp, freenginx, pyca/cryptography и python.org. Эти проекты поддерживают разработку ПО, сетевые технологии, криптографию и инфраструктуру цепочки поставок, которые используются во множестве корпоративных приложений и сервисов.

OpenAI сказала, что каждое взаимодействие начнется с консультаций с мейнтейнерами, чтобы определить, где поддержка по безопасности нужна больше всего. Затем исследователи будут изучать возможные уязвимости, подтверждать значимые проблемы, разрабатывать или дорабатывать патчи, помогать с тестированием и координировать раскрытие через существующие каналы проекта.

Участвующие исследователи по безопасности будут использовать модели компании и Codex Security для анализа кода и продвижения исправлений к релизу. Инженеры Trail of Bits будут проверять результаты до передачи мейнтейнерам — это должно отсеивать ложные срабатывания и дубликаты, прежде чем они добавят нагрузку open source-проектам.

Компания также работает с HackerOne и Calif, чтобы поддержать triage уязвимостей, coordinated disclosure и дополнительный поиск по мере расширения программы.

OpenAI сообщила, что в рамках программы уже удалось выявить «сотни проблем безопасности и слить десятки патчей, при этом многие другие все еще проходят coordinated disclosure».

Работа также породила инструменты для fuzzing, исторического анализа CVE и differential testing, а также системы фильтрации неточных находок до того, как будут сгенерированы патчи, добавила OpenAI.

Фокус на безопасности open source следует за инцидентами вроде Log4Shell и бэкдора в XZ Utils, которые показали, как быстро уязвимость в общем компоненте может распространиться по корпоративному ПО.

Аналитики сказали, что Patch the Planet меняет уравнение рисков только в том случае, если компании рассматривают ИИ-поддерживаемое исследование уязвимостей как входные данные для более широкой программы управления рисками в цепочке поставок ПО, а не как замену такой программе.

«Главное изменение — это скорость: ИИ-поддерживаемые исследования могут быстрее находить, подтверждать, исправлять, тестировать и документировать проблемы, а человеческие рецензенты снижают число ложных срабатываний до того, как мейнтейнеры будут перегружены», — сказал Biswajeet Mahapatra, principal analyst в Forrester. «Но зависимость от дефицитной экспертизы никуда не исчезает; она просто смещается в triage, оценку эксплуатационной применимости, безопасность патча, сроки раскрытия и выкатывание в production».

Ограничители перед внедрением

CISO следует заранее внедрить governance-контроли, прежде чем использовать ИИ-поддерживаемое исследование уязвимостей в корпоративных security pipeline, чтобы неподтвержденные находки не перегружали инженерные команды, сказала Devashri Datta, open source cybersecurity architect.

«CISO должны требовать Safety Relevance Layer в своей risk modeling — это структурированная рамка, которая заставляет каждую ИИ-сгенерированную находку пройти автоматическую верификацию, включая динамическую проверку proof-of-concept и жесткую фильтрацию ложных срабатываний, прежде чем она попадет к человеку-аналитику», — сказала Datta.

Такие контроли должны также охватывать раскрытие информации, особенно когда ИИ-инструменты находят дефекты в сторонних open source-компонентах, которыми предприятие не управляет, сказала Datta. Организациям нужны заранее определенные пути эскалации, сроки уведомлений и распределение ролей, которые вступают в силу после того, как подтвержденная проблема обнаружена во внешней зависимости.

«Ad hoc disclosure в среде, ускоренной ИИ, — это не просто пробел в процессе; это liability», — сказала Datta. «Доверие к ИИ в production pipeline требует проверяемой auditability: организация должна уметь отследить, почему ИИ пометил строку кода, как он валидировал exploit и как он решил, что патч не сломает downstream production systems».

Постоянное снижение экспозиции

Исследование уязвимостей с помощью ИИ может заставить компании уйти от периодических циклов установки патчей к более непрерывной оценке рисков, сказали аналитики. Если variant analysis и differential testing можно сжать с недель до дней, командам безопасности могут понадобиться более быстрые способы решать, какие находки важнее всего именно в их среде.

Это изменение также означает, что предприятия больше не смогут полагаться только на стандартные оценки CVSS при приоритизации исправлений, сказала Datta. Находки придется оценивать с учетом затронутой системы, ее бизнес-роли, runtime exposure и вероятности эксплуатации уязвимости.

«Нам нужно двигаться к context-aware, safety-critical prioritization», — сказала Datta. «Enterprise SBOM и VEX-программы должны эволюционировать из пассивных таблиц соответствия в живые, машинно-читаемые потоки данных. Для ИИ-поддерживаемых pipeline это означает расширение модели VEX, чтобы она покрывала surface рисков, возникающие из-за ИИ».

Mahapatra сказал, что программы управления уязвимостями также должны стать теснее связаны с владением ПО, реакцией поставщиков и бизнес-эффектом.

«Команды безопасности должны перейти от периодической обработки уязвимостей к постоянному снижению экспозиции», — сказал Mahapatra.

Это означает, что SBOM следует рассматривать как живые инвентари, привязанные к runtime exposure и реакции поставщика, а не как статичные документы для compliance. Решения о патчах также должны учитывать критичность актива, эксплуатационную применимость, компенсирующие меры контроля и бизнес-эффект.

Статья originally appeared on CSO.


Материал — перевод статьи с английского.

Оригинал: OpenAI rolls out AI-led push to fix open-source software flaws