OpenAI 推出了 Patch the Planet, 這是一項把人工智慧對準開源軟體安全漏洞的計畫, 同時搭配一款名為 GPT-5.5-Cyber 的升級版模型, 專為尋找並修補這些漏洞而打造。該模型於 6 月 22 日宣布, 作為 OpenAI 的 Daybreak 資安平台的擴充, 它是該公司迄今在漏洞工作上最強的模型, 同時保留了 GPT-5.5 的通用智慧。它在 CyberGym 基準測試上拿到 85.6%, 高於 GPT-5.5 的 81.8%, 而 OpenAI 正將它開放給通過審核的資安研究人員。
Patch the Planet 才是最重要的部分。它與資安公司 Trail of Bits 共同創立, 並與 HackerOne, 外部研究人員以及維護者本身協作運作, 目的是讓廣泛使用的開源專案從發現問題走到完成修補。其主張是一個完整的防禦迴圈, 而不只是抓漏洞, 包含發掘, 驗證, 嚴重性審查, 揭露, 修補開發, 測試以及部署。找到漏洞是容易的部分, 而這項計畫明確地嘗試把修補一路帶到實際出貨。
早期成果很具體, 加入者的名單也是。已有超過 30 個開源專案承諾參與, 初期成員包括 cURL, Go, Python, Sigstore 以及 pyca/cryptography, 這類基礎程式碼安靜地驅動著網路上幾乎所有的一切。在第一週內, 全職與 Codex 以及 GPT-5.5-Cyber 一起工作的 Trail of Bits 工程師發掘出數百個漏洞, 並在 19 個專案中提交了 64 個 pull request 以及 51 個 issue, 其中數十個修補已經合併。這不是一場安排好的展示。
這項計畫背後的賭注很明確。AI 已讓尋找漏洞變得廉價, 這對攻擊者的幫助至少不亞於防禦者, 而 OpenAI 的押注是把同樣的能力放到維護者這一側的戰場。驅動網際網路的開源程式碼長期資源不足, 往往是少數幾位志工維護著全世界都依賴的函式庫, 而如果 AI 能承擔分流與草擬修補這類粗活, 這些防禦者就能獲得前所未有的施力點。
誠實的但書是, 一個 pull request 並不等於合併。數百個漏洞與 64 個 PR 是強勁的開場, 但修補仍需維護者審查, 而如果訊噪比不對, 用 AI 生成的發現淹沒志工維護者, 既可能是禮物, 也同樣容易是負擔。把完整迴圈帶到部署才是困難的部分, 真正的考驗是數月之久且不引入回歸的已合併修補, 而不是第一週的計數。儘管如此, 這個方向很難反駁。在所有可以對準一款強大資安模型的目標裡, 強化人人依賴的共享基礎設施幾乎排在清單的最前面。