Về trang chủ
AI tools-ai 8 phút đọc

OpenAI & Trail of Bits: 'Vá Lại Hành Tinh' Bằng AI Để Bảo Mật Mã Nguồn Mở! 🛡️🌍🤖

OpenAI cùng Trail of Bits đã ra mắt sáng kiến 'Patch the Planet' thuộc chương trình Daybreak, kết hợp AI tiên tiến và chuyên gia bảo mật để tìm, vá lỗi nghiêm trọng trong các dự án mã nguồn mở quan trọng, giảm gánh nặng cho các nhà bảo trì.

Tier 1 · nguồn 99% độ tin cậy Auto-priority
Nguồn gốc techcrunch.com

Vá Lại Hành Tinh: Sáng Kiến Ngày Mới (Daybreak) Hỗ Trợ Các Nhà Bảo Trì Mã Nguồn Mở

Ngày: 22 tháng 6 năm 2026 Chuyên mục: An ninh mạng / Trí tuệ nhân tạo / Mã nguồn mở Đối tác: OpenAI, Trail of Bits, HackerOne, và Calif

---

Tổng Quan Điều Hành 💡

OpenAI vừa chính thức giới thiệu Patch the Planet, một sáng kiến an ninh lớn thuộc chương trình Daybreak của họ. Được phát triển với sự hợp tác của công ty bảo mật hàng đầu chuyên về nghiên cứu Trail of Bits, cùng với các đối tác quản lý lỗ hổng uy tín như HackerOneCalif, sáng kiến này nhằm mục đích hỗ trợ cộng đồng phần mềm mã nguồn mở tăng cường khả năng phòng thủ an ninh. 🚀

Bằng cách kết hợp nghiên cứu bảo mật có sự hỗ trợ của AI—sử dụng các mô hình AI tiên tiến nhất của OpenAI có khả năng về an ninh mạng, bao gồm GPT-5.5-CyberCodex Security—với đánh giá chuyên sâu từ con người, chương trình này xác định, xác thực và khắc phục các lỗ hổng nghiêm trọng trong các phần mềm được sử dụng rộng rãi. Điều quan trọng là chương trình hoạt động theo mô hình "con người trong vòng lặp" (human-in-the-loop) để đảm bảo các nhà bảo trì không bị quá tải bởi các cảnh báo sai hoặc "mệt mỏi vì cảnh báo" (alert fatigue). 🧑‍💻🤖

Trích dẫn đáng chú ý: > "AI đang thúc đẩy việc phát hiện lỗ hổng, nhưng chỉ phát hiện thôi thì không bảo vệ người dùng. Nhiều nhà bảo trì đã phải xử lý nhiều báo cáo hơn, nhanh hơn, trong khi vẫn có cùng thời gian và nguồn lực hạn chế. Patch the Planet được xây dựng để giảm gánh nặng đó, chứ không phải tăng thêm." - Đại diện OpenAI về Daybreak 💬

---

Patch the Planet Hoạt Động Như Thế Nào? ⚙️

Chương trình cung cấp hỗ trợ trực tiếp, có tài trợ cho các nhà bảo trì mã nguồn mở, đảm bảo họ giữ toàn quyền kiểm soát mã nguồn của mình trong khi tận dụng các công cụ bảo mật hỗ trợ bởi AI:

1. Tư vấn & Hỗ trợ dự án: Các kỹ sư bảo mật hợp tác chặt chẽ với các nhà bảo trì dự án để xác định nhu cầu bảo mật, bao gồm xác thực lỗ hổng, phát triển bản vá, cải thiện CI/CD hoặc kỹ thuật bảo mật dài hạn. 2. Nghiên cứu có hỗ trợ AI: Các nhà nghiên cứu tận dụng các mô hình tiên phong của OpenAI và Codex Security để phân tích mã, phát triển các bản vá và viết các bài kiểm tra mạnh mẽ. 3. Phân loại & Xác thực bởi con người: Để loại bỏ "mệt mỏi vì cảnh báo", các kỹ sư của Trail of Bits sẽ tự tay xem xét và tái tạo lại mọi phát hiện của AI, lọc bỏ các cảnh báo sai, đánh giá lại mức độ nghiêm trọng và soạn thảo các bản vá chính xác trước khi liên hệ với các nhà bảo trì. 4. Tiết lộ phối hợp: Các lỗ hổng được tiết lộ và vá một cách an toàn thông qua các kênh đã được thiết lập của dự án. 🤝

Các Dự Án Tham Gia Ban Đầu: Nhóm dự án ban đầu tập trung vào các dự án hạ tầng mạng, mật mã, chuỗi cung ứng phần mềm và ngôn ngữ quan trọng: * cURL (công cụ dòng lệnh phổ biến để truyền dữ liệu) * NATS Server (hệ thống nhắn tin đám mây) * pyca/cryptography (thư viện mật mã cốt lõi của Python) * Sigstore (bảo mật chuỗi cung ứng phần mềm) * aiohttp (client/server HTTP bất đồng bộ cho Python) * The Go project (hạ tầng ngôn ngữ lập trình) * freenginx (fork mã nguồn mở của máy chủ web nginx) * Python và python.org (ngôn ngữ lập trình cốt lõi) 🌐

Tài Nguyên Cung Cấp Cho Các Dự Án: * Truy cập ChatGPT Pro * Truy cập có điều kiện vào Codex Security * Tín dụng API cho phát triển cốt lõi, tự động hóa và quy trình phát hành * Các quy trình làm việc hỗ trợ AI có thể tái sử dụng do Trail of Bits phát triển để phân loại, loại bỏ trùng lặp và vá lỗi. 🛠️

---

Thành Tựu Kỹ Thuật & Ghi Nhận Thực Tế 🚀

Trail of Bits đã bố trí các kỹ sư bảo mật toàn thời gian làm việc với Codex và GPT-5.5-Cyber trên 19 dự án mã nguồn mở, cho thấy tốc độ chưa từng có trong các quy trình làm việc bảo mật:

* Phòng thử nghiệm Fuzzing dưới 24 giờ: Sử dụng các lần chạy /goal lặp lại của Codex với GPT-5.5-Cyber, các kỹ sư đã xây dựng một phòng thử nghiệm fuzzing toàn diện bao gồm hàng chục điểm vào, các bản dựng biến thể và nền tảng. Điều này đã rút ngắn quá trình thiết lập thường mất vài tuần chỉ còn chưa đầy một ngày. ⏱️ * Quy trình phân tích biến thể: Xây dựng một hệ thống đầu cuối để thu thập các CVE lịch sử, trích xuất các mẫu lỗ hổng, tìm kiếm các lỗi liên quan trong các cơ sở mã mục tiêu và lọc kết quả bằng các tác nhân đánh giá AI chuyên biệt. * Kiểm tra sai biệt trong vài ngày: Codex đã tạo ra mã shim và glue phức tạp cần thiết để kết nối các triển khai khác nhau của cùng một giao thức với một bộ kiểm tra chung, rút ngắn hàng tuần công việc thủ công chỉ còn vài ngày. * Kiểm tra dựa trên đặc tả: Phát triển các mô hình mối đe dọa, phân loại tấn công và các bài kiểm tra dựa trên thuộc tính được xây dựng trên RFC và các đặc tả dự án để làm lộ ra sự khác biệt giữa hành vi phần mềm dự kiến và thực tế. 🧪

---

Các Lỗ Hổng Nghiêm Trọng Được Phát Hiện 🚨

Sáng kiến này đã xác định hàng trăm vấn đề bảo mật và hợp nhất hàng chục bản vá trên toàn bộ ngăn xếp phần mềm, cho thấy sức mạnh tăng cường phòng thủ của các mô hình tiên tiến:

1. Hệ điều hành & Kernel * Linux Kernel (GPT-5.5-Cyber): Phân tích hơn 30 triệu dòng mã, xác thực động các vấn đề tiềm ẩn và tự động tạo ra 8 bằng chứng khái niệm (PoC) rò rỉ thông tin con trỏ kernel cùng 24 khai thác leo thang đặc quyền cục bộ (LPE). 🐧 * OpenBSD: Xác định một lỗ hổng sử dụng sau khi giải phóng (use-after-free) đã tồn tại 23 năm trong việc triển khai System V semaphores của kernel OpenBSD. Lỗ hổng này có thể cho phép người dùng cục bộ không có đặc quyền leo thang đặc quyền lên root. * FreeBSD: Hợp tác với Calif, các nhà nghiên cứu đã xác nhận 34 lỗ hổng và tạo ra 7 PoC LPE, bao gồm các khai thác cho FreeBSD-SA-26:18.setcred, FreeBSD-SA-26:21.ptraceFreeBSD-SA-26:19.file.

2. Bảo mật Trình duyệt & Công cụ Web * Chrome (WebKit & V8): Các nhà nghiên cứu của OpenAI đã tìm thấy và báo cáo 5 lỗ hổng có thể khai thác trong công cụ JavaScript V8 của Chrome, trong đó có ba lỗ hổng được xác định và khắc phục chỉ trong vài ngày kể từ khi chúng được giới thiệu. 🌐 * Safari: Trong khoảng một tuần làm việc tập trung vào WebKit, hơn 10 lỗ hổng Safari có thể khai thác đã được tìm thấy và báo cáo. * Firefox (WebAssembly): Nhóm OpenAI Preparedness đã xác định một lỗ hổng WebAssembly (CVE-2026-8390) với GPT-5.5 trong quá trình đánh giá an toàn. Mozilla đã vá lỗi này hai ngày trước Pwn2Own Berlin, khiến năm trong số sáu mục đăng ký Firefox phải rút lui. Không có khai thác Firefox nào được chứng minh thành công tại cuộc thi. 🦊

---

Hạ Tầng Chung, Phòng Thủ Chung 🤝

Mục tiêu dài hạn của Patch the Planet là dân chủ hóa kỹ thuật bảo mật, giúp phần mềm mã nguồn mở luôn đi trước các tác nhân đe dọa tấn công được hỗ trợ bởi AI. Bằng cách tài trợ cho các chuyên gia thực hiện công việc nặng nhọc của việc phân loại và tạo bản vá, OpenAI hy vọng chứng minh rằng AI có thể là một yếu tố tích cực to lớn cho an ninh mạng phòng thủ. 💪🌍