OpenAI于本周一宣布推出一项全新计划，旨在帮助开源社区提升网络安全能力、及时修复漏洞。

这项名为"Patch the Planet"（修补星球）的计划，名称灵感隐约来自1995年电影《黑客》中的经典台词"Hack the Planet"（黑进星球）。根据计划内容，OpenAI将与安全公司Trail of Bits携手合作，帮助开源项目维护者加固其代码安全。

OpenAI表示，Trail of Bits的安全工程师将直接与开源项目维护者协作，共同审查潜在的代码问题，并在此过程中借助OpenAI的安全工具——例如Codex Security——提供技术支持。

"许多维护者已经面临着在有限时间和资源下处理越来越多报告的压力，"OpenAI在周一的声明中指出，"'修补星球'计划的目标是减轻这一负担，而非增加负担：安全工程师会在问题到达维护者之前先行审查发现的内容，与项目方共同制定补丁和测试方案，并构建可复用的工作流程，帮助团队在首批修复落地后持续提升安全性。"

开源项目是商业软件行业赖以运转的数字基石，然而由于该生态系统分散、监管薄弱的特性，其中大量软件存在安全隐患。开源项目中的漏洞一旦蔓延，可能给商业代码库带来严重问题。几年前爆发的log4j安全事件便是典型案例——一个广泛使用的开源组件被发现存在严重漏洞，引发了大规模的安全危机。

OpenAI此次则反其道而行之，将AI的能力用于帮助开源社区更好地保护自身安全。这一举措很难不让人联想到其对Anthropic的竞争回应，但同时也不可否认，这正是开源社区迫切需要的支持。

Q&A

Q1：OpenAI"修补星球"计划具体是怎么运作的？

A：OpenAI与安全公司Trail of Bits合作，由Trail of Bits的安全工程师直接介入开源项目，在问题反馈给维护者之前先行审查，协助制定补丁和测试方案，并搭建可复用的安全工作流程。整个过程借助OpenAI的Codex Security等安全工具提供技术支撑，目标是减轻开源维护者的安全压力，而非增加负担。

Q2：开源软件为什么容易出现安全漏洞？

A：开源项目是商业软件的重要基础，但由于其生态系统高度分散、缺乏统一监管，大量项目在安全方面存在薄弱环节。维护者通常资源有限，难以应对数量庞大的安全报告。log4j事件就是一个典型例子——一个被广泛使用的开源组件出现严重漏洞，迅速波及大量商业系统，造成了严重的安全危机。

Q3：OpenAI的这个计划和Anthropic的Mythos工具有什么区别？