OpenAI behebt Schwachstellen in Open-Source-Software mithilfe von KI

(Source: Pexels.com)

(Source: Pexels.com)

OpenAI hat "Patch the Planet" angekündigt, eine Initiative im Rahmen von "Daybreak", dem auf Cybersicherheit ausgerichteten Rahmenprogramm des Unternehmens. Das Ziel von "Patch the Planet" sei es, Betreuer dabei zu unterstützen, die Sicherheit kritischer Open-Source-Software zu verbessern. Das Programm kombiniert laut OpenAI KI-gestützte Sicherheitsforschung mit menschlichem Fachwissen, um Schwachstellen zu identifizieren, Patches zu entwickeln, Tests durchzuführen und deren Veröffentlichung zu koordinieren. 

Das Unternehmen weist darauf hin, dass KI die Entdeckung von Sicherheitslücken beschleunige, aber auch die Arbeitsbelastung der Projektbetreuer erhöhen könne. "Patch the Planet" ziele darauf ab, diesen Druck zu verringern. Entdeckte Schwachstellen werden demnach von Sicherheitsingenieuren überprüft, bevor sie an die betroffenen Projekte weitergeleitet werden.

In der ersten Phase stütze sich das Programm auf die Sicherheitsforschungsabteilung Trail of Bits. Deren Ingenieure arbeiten laut OpenAI direkt mit den Projektbetreuern zusammen, um Sicherheitslücken zu analysieren und zu validieren sowie Patches zu entwickeln und zu testen. Anschliessend werde deren Veröffentlichung koordiniert. OpenAI gibt zudem an, mit Hackerone und Calif bei der Priorisierung, der koordinierten Veröffentlichung sowie bei gezielten Untersuchungen von Sicherheitslücken zusammenzuarbeiten. 

Zu den ersten teilnehmenden Projekten gehören gemäss Mitteilung cURL, NATS Server, Pyca/Cryptography, Sigstore, Aiohttp, das Go-Projekt, Freenginx, Python und python.org.

Meldungen werden vor der Weiterleitung geprüft

Zur Unterstützung der Arbeit stehen den Forschenden laut dem KI-Entwickler die Modelle von OpenAI sowie Codex Security zur Verfügung. Sie sollen Analysen, das Testen und die Entwicklung von Patches unterstützen. Die teilnehmenden Projekte würden ausserdem Zugang zu ChatGPT Pro sowie bedingten Zugang zu Codex Security erhalten. Auch von API-Guthaben für die Open-Source-Entwicklung, die Automatisierung von Wartungsaufgaben und Veröffentlichungsworkflows könnten sie profitieren. 

Bevor man die Meldungen an die betroffenen Projekte weiterleite, würden sie von den Ingenieuren von Trail of Bits überprüft. Diese reproduzieren die Beweise und verifizieren die Ergebnisse anhand der projektspezifischen Dokumentation und den Bedrohungsmodellen, wie OpenAI ausführt. Ausserdem würden sie Duplikate entfernen, den Schweregrad der Schwachstellen neu bewerten und die bestätigten Probleme priorisieren. Die Projektbetreuer behielten dabei die Kontrolle über die bereitgestellten Patches und die Modalitäten der Offenlegung. 

Erste Ergebnisse

OpenAI hebt bereits mehrere im Rahmen von "Daybreak" erzielte Ergebnisse hervor. Trail of Bits gibt an, Vollzeit-Sicherheitsingenieure mit Codex und GPT-5.5-Cyber für 19 Open-Source-Projekte eingesetzt zu haben. Nach Angaben des Unternehmens konnten in dieser ersten Phase Hunderte von Sicherheitsproblemen identifiziert und mehrere Dutzend Patches integriert werden. Andere Entdeckungen seien noch Gegenstand koordinierter Offenlegungsverfahren.

Unter den genannten Beispielen soll GPT-5.5-Cyber im Linux-Kernel sicherheitsrelevante Komponenten in mehr als 30 Millionen Codezeilen identifiziert haben. Anschliessend habe das KI-Modell acht Proof-of-Concepts für Pointer-Information-Leaks sowie 24 Exploits zur lokalen Rechteausweitung generiert. In OpenBSD hätten die Modelle einen 23 Jahre alten "Use-after-free"-Fehler in der Implementierung der System-V-Semaphoren des Kernels identifiziert. 

Ausserdem seien Untersuchungen zu FreeBSD, Dnsmasq, HTTP/2, Chrome, Safari und Firefox durchgeführt worden. OpenAI gibt insbesondere an, fünf ausnutzbare Sicherheitslücken in der JavaScript-Engine V8 von Chrome identifiziert und gemeldet zu haben. Das Unternehmen hat zudem nach eigenen Angaben nach etwa einer Woche gezielter Arbeit mehr als zehn ausnutzbare Sicherheitslücken in Webkit gefunden und gemeldet. 

Auch Check Point setzt auf OpenAI und integriert nun KI des Unternehmens in seine Sicherheitslösungen. Hier lesen Sie mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.