AI安全专家免费为开源软件修漏洞，你的设备更安全

OpenAI 和 Trail of Bits 联合发起了一个叫“Patch the Planet”的项目，专门帮开源软件维护者修关键安全漏洞。第一批参与的项目包括 cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go 项目、freenginx、Python 和 python.org——这些是你每天上网、写代码、通信时最常依赖的底层软件。

项目做法是：先用AI模型做初步安全分析，再由安全工程师人工审核，确认漏洞后跟项目一起开发补丁和测试。漏洞报告送到维护者手里之前，已经经过了去重、假阳性过滤，大幅减少了误报干扰。合作方 HackerOne 和 Calif 负责漏洞分类、协调披露和额外的漏洞发现。

Trail of Bits 已经在 19 个开源项目上派了全职安全工程师，用 Codex 和 GPT‑5.5‑Cyber 干活。目前识别了数百个安全问题，合并了几十个补丁，还有更多补丁在协调披露中。每项发现都经过人工审查才提交给维护者。

Linux 内核超过3000万行代码中，GPT‑5.5‑Cyber 生成了8个内核指针信息泄露概念验证和24个本地权限提升漏洞利用。在 OpenBSD 内核里，模型挖出一个23年历史的 use-after-free 漏洞，能让本地用户拿到 root 权限。FreeBSD 方面，OpenAI 研究人员确认了34个漏洞并产出了7个本地权限提升 PoC，Calif 团队也用 Codex 独立发现了多个 LPE。

浏览器也一样。OpenAI 研究人员在 Chrome 的 V8 引擎里找到5个可利用漏洞，其中3个在被引入后几天内就被识别修复。花了一周左右研究 WebKit，报告了超过10个 Safari 漏洞。Firefox 那边，OpenAI Preparedness 团队发现了一个 WebAssembly 漏洞（CVE‑2026‑8390），Mozilla 在 Pwn2Own Berlin 前两天打了补丁，比赛当天五个注册的 Firefox 条目直接退赛，一个都没演示成功。

网络服务层也没放过。Calif 用 Codex 发现了一种叫“HTTP/2 Bomb”的拒绝服务技术，影响 NGINX、Apache、IIS 和 Pingora，超过88万个面向互联网的网站中招。Codex Security 还独立识别了 dnsmasq 里四个 CVE 对应的漏洞模式。

AI 大幅提升了安全研究效率。Trail of Bits 工程师用 Codex 重复运行 /goal 模式，不到一天就搭好了一个完整的模糊测试实验室，覆盖几十个入口点、变体构建和平台。手动干同样的事至少需要几周。他们还建了一个可复用的历史 CVE 分析管道，把多年公开漏洞信息转成可重复的搜索策略，差异测试几天搞定，传统上要花数周到数月。

初始冲刺产出了大量可复用的安全基础设施：模糊测试工具、差异测试系统、威胁模型、扩展测试套件，还有去重、假阳性过滤、严重性修正和补丁生成的工作流，后续项目可以直接用。

参与项目的维护者拿到了 ChatGPT Pro 有条件访问、Codex Security 权限和 API 积分，用于开发、自动化和发布。OpenAI 表示更多项目可以申请加入，但目前没公布计划持续多久、钱从哪来，也不清楚第一批19个之后还有哪些会入选。

这些漏洞在被公开利用前就修掉了，你什么也不用做，设备已经更安全了。