OpenAI 推出了 Patch the Planet,这是一项把人工智能对准开源软件安全漏洞的计划,同时还配套发布了一款名为 GPT-5.5-Cyber 的升级模型,专为发现并修复这些漏洞而打造。该模型于 6 月 22 日作为 OpenAI 旗下 Daybreak 网络安全平台的扩展发布,是该公司迄今在漏洞工作上最强的模型,同时保留了 GPT-5.5 的通用智能。它在 CyberGym 基准测试中得分 85.6%,高于 GPT-5.5 的 81.8%,OpenAI 正在向经过审核的安全研究人员开放它。
Patch the Planet 才是最关键的部分。它与安全公司 Trail of Bits 共同发起,并与 HackerOne,外部研究人员以及维护者本身协作运行,目的是把广泛使用的开源项目从发现问题推进到修复问题。它主打的是一个完整的防御闭环,而不仅仅是找漏洞,涵盖发现,验证,严重性评估,披露,补丁开发,测试与部署。找到漏洞是容易的部分,而这个项目明确地试图把修复一路推进到上线。
早期成果很具体,参与者名单同样具体。已有超过 30 个开源项目承诺参与,首批成员包括 cURL,Go,Python,Sigstore 和 pyca/cryptography,这些都是默默支撑着网上几乎一切的基础性代码。在第一周里,Trail of Bits 的工程师与 Codex 和 GPT-5.5-Cyber 全职协同工作,发现了数百个漏洞,并在 19 个项目中提交了 64 个拉取请求和 51 个议题,其中数十个补丁已经合并。这不是一场摆拍的演示。
这个项目背后的赌注很明确。AI 让发现漏洞变得轻而易举,这对攻击者的帮助至少不亚于对防御者,而 OpenAI 押的是把同样的能力放到维护者这一边的战斗中。运行互联网的开源代码长期资源不足,往往是一小撮志愿者维护着整个世界都依赖的库,如果 AI 能接手分类和补丁起草这类苦活,那些防御者就能获得他们从未有过的杠杆。
实话实说的提醒是,一个拉取请求并不等于一次合并。数百个漏洞和 64 个拉取请求是一个强劲的开局,但补丁仍然需要维护者审查,而如果信噪比不对,用 AI 生成的发现淹没志愿维护者,既可能是礼物,也同样可能是负担。把整个闭环推进到部署才是难的部分,真正的考验是数月之久且不带回归的已合并修复,而不是第一周的统计数字。尽管如此,这个方向很难有人反对。在所有值得对准一款强大网络模型的目标里,加固大家共同依赖的共享基础设施是名列前茅的。