OpenAI launches new initiative to help find and patch open source bugs
A OpenAI anunciou na segunda-feira uma nova iniciativa destinada a ajudar a comunidade de código aberto a aprimorar sua segurança cibernética e a se proteger contra bugs.
A iniciativa “Patch the Planet” (uma alusão nada sutil a “Hack the Planet”, o icônico slogan do filme “Hackers”, de 1995) contará com a parceria da OpenAI com a empresa de segurança Trail of Bits para ajudar os mantenedores de código aberto a proteger seus projetos.
A OpenAI informou que a equipe de segurança da Trail of Bits trabalhará diretamente com os mantenedores de código aberto para analisar possíveis problemas no código. As ferramentas de segurança da OpenAI — como o Codex Security — serão utilizadas para auxiliar nesse processo.
“Muitos mantenedores já estão sendo solicitados a analisar mais relatórios, mais rapidamente, com o mesmo tempo e recursos limitados”, afirmou a OpenAI na segunda-feira. “O Patch the Planet foi criado para reduzir essa carga, não para aumentá-la: os engenheiros de segurança analisam as descobertas antes que elas cheguem aos mantenedores, trabalham com os projetos para desenvolver correções e testes e criam fluxos de trabalho reutilizáveis que ajudam as equipes a continuar melhorando a segurança após a implementação das primeiras correções.”
Em outras palavras, os engenheiros da Trail of Bits funcionarão mais ou menos como paramédicos de código — estarão lá para ajudar os mantenedores de projetos de código aberto a identificar e classificar possíveis problemas, tudo com o apoio do software da OpenAI. Parece um projeto ambicioso, e ainda não está totalmente claro como ele funcionará a longo prazo, nem como pretende se expandir (se é que isso vai acontecer).
Os projetos de código aberto são a base digital sobre a qual repousa a indústria de software comercial, mas, infelizmente, devido à estrutura descentralizada e mal monitorada desse ecossistema, grande parte do software é insegura. Bugs em projetos de código aberto podem se transformar em grandes problemas para bases de código comerciais. O escândalo do log4j, ocorrido há vários anos — quando uma grave vulnerabilidade foi descoberta em um utilitário de código aberto amplamente utilizado —, é um bom exemplo.
Grande parte da preocupação em torno de ferramentas como o Mythos (a ferramenta de segurança altamente divulgada da Anthropic) parece decorrer do fato de que a IA agora pode identificar automaticamente bugs existentes em bases de código e começar a criar exploits para eles. Embora a automação do crime cibernético não seja novidade, essas ferramentas, sem dúvida, têm o potencial de tornar isso significativamente mais conveniente para os malfeitores.
A OpenAI está virando essa fórmula de cabeça para baixo ao usar a IA para ajudar a comunidade de código aberto a se proteger melhor. É difícil não interpretar isso como um golpe competitivo contra a Anthropic, ao mesmo tempo em que se reconhece que é algo de que a comunidade de código aberto precisa desesperadamente.
