7 uren geleden
1
Maintainers die al veel te weinig tijd hebben om hun open-source projecten veilig te houden, worden overspoeld door veelal nutteloze AI-gegenereerde fixes. Dat probleem kaart OpenAI nu systematisch aan met het Daybreak-initiatief genaamd “Patch the Planet”. Hoe hoopt het de AI-invloed op open-source security eindelijk een positieve draai te geven?
OpenAI kent net als Anthropic een initiatief waarbij een beperkte groep securityonderzoekers op kwetsbaarheden kunnen jagen met behulp van het meest geavanceerde LLM van de modelbouwer in kwestie. Daar waar Anthropic het Mythos Preview-model via Project Glasswing verspreidde, is dit voor OpenAI het gespecialiseerde GPT-5.5-Cyber onder het Daybreak-initiatief. Daarbinnen volgt nu een samenwerking met onder meer Trail of Bits en, erg belangrijk, de oververmoeide maintainers van cruciale open-source projecten.
Geen AI-slop maar coördinatie
Met name rondom Claude Mythos heerst al maanden een levendige discussie binnen de securitygemeenschap. De tumult rondom de blokkade van Claude Fable 5 en Mythos 5 daargelaten: de AI-spelers weten dat ze met hun meest recente LLM’s een projectiel in de vorm van parameters bezitten. Als Mythos of GPT-5.5-Cyber voor iedereen beschikbaar zou zijn zonder guardrails, zouden veel meer kwetsbaarheden dan ooit veel sneller dan voorheen exploiteerbaar zijn.
Tegelijkertijd kunnen diezelfde AI-modellen in de juiste context juist hulp bieden. OpenAI, vrij van de ruzie tussen de VS-regering en Anthropic, neemt op dat gebied een volgende stap. Het probleem dat maintainers aankaarten, namelijk AI-slop in de vorm van grotendeels onhandige en massale fixes, wordt direct aangepakt. Maintainers gaan binnen Patch the Planet in discussie met de securityengineers van het initiatief. Alles van het valideren van vermeende kwetsbaarheden tot CI/CD-verbeteringen kunnen ter sprake komen en aan de kaak gesteld worden.
Opvallende deelnemers
Deelnemers aan Patch the Planet komen van allerlei hoeken. Zo zijn het Go-project en Python voorbeelden van programmeertaal-maintainers, terwijl aiohttp en pyca/cryptography laten zien dat de insteek van dit initatief breed is.
Opvallend is dat cURL ook meedoet. Oprichter en hoofd-developer van de datatransfertool Daniel Stenberg is een van de meest prominente critici van de AI-slop-lawine rondom kwetsbaarheidsrapporten. Deze gecoördineerde aanpak zal dus een zeer gewenste omwenteling zijn van de ervaring die Stenberg op dit gebied met AI heeft.
(Vooral) sneller
De gesuggereerde doorbraak van Claude Mythos Preview draaide om de schaal en snelheid om kwetsbaarheden op te sporen. Dat wil zeggen: AI-modellen konden al langer cybergevaren ontdekken, maar die vaardigheid was beperkt genoeg dat geen autoriteit de verspreiding van de nieuwste LLM’s tegenhield. Daar is nu verandering in gekomen. Toch is de vraag relevanter dan ooit of bestaande, toegankelijke modellen niet al een goede Mythos-imitatie in huis hebben.
Het antwoord op de vraag bij allerlei LLM’s of ze dat kunnen, varieert. Sommige modellen komen regelmatig met valse positieven, houden het bij oppervlakkige en beruchte CVE’s, of ‘spelen vals’ door enkel te controleren of er al kwetsbaarheden in de onderzochte code beschikbaar zijn. Desondanks mogen we GPT-5.5-Cyber op zijn minst in de buurt van Mythos plaatsen als AI-threat hunter.
Fuzzing, het uittesten van software via onverwachte of gevaarlijke inputs, is volgens OpenAI binnen een dag op systematische wijze uit te voeren. Het testen van meerdere softwareversies (differential testing) is nu in dagen mogelijk in plaats van weken of maanden. In algemene zin is die tijdcompressie de belofte van Patch the Planet en Daybreak. De hoop is dat wanneer een AI-lab, Anthropic of niet, een Mythos-achtig model algemeen beschikbaar stelt, dat zoveel mogelijk open-source projecten al gereed zijn.
Lees ook: Claude Fable 5 en Mythos 5 geblokkeerd: is AI nu te gevaarlijk?
/s3/static.nrc.nl/wp-content/uploads/2026/06/20193228/200626SPO_2034269133_brobbeyscoort03.jpg)
English (US) ·