OpenAI는 월요일 오픈 소스 커뮤니티가 사이버 보안을 개선하고 코드 취약점을 찾아 수정하는 데 도움이 되는 "Patch the Planet"이라는 새로운 프로그램의 출시를 발표했습니다. 이 이름은 1995년 해커 영화 해커스(Hackers)의 유명한 대사인 "Hack the Planet"에 대한 오마주입니다.
소개에 따르면 OpenAI는 보안업체인 Trail of Bits와 협력할 예정이며, 후자의 보안 엔지니어는 오픈소스 프로젝트 관리자와 직접 연결하여 잠재적인 코드 문제를 검토하고 그 과정에서 Codex Security와 같은 OpenAI 자체 보안 도구를 호출할 것입니다. OpenAI는 많은 관리자들이 이미 "폭발적인 보고서 양과 지속적인 처리 시간"이라는 이중 압력에 직면해 있으며 "Patch the Planet"은 이러한 부담을 늘리는 것이 아니라 줄이는 것을 목표로 한다고 말합니다. Trail of Bits 엔지니어는 문제가 유지 관리 담당자에게 전달되기 전에 문제를 검사 및 검토한 다음 프로젝트와 협력하여 패치 및 테스트 계획을 개발하고 재사용 가능한 보안 워크플로를 구축하여 팀이 첫 번째 수정 후 보안을 지속적으로 개선할 수 있도록 돕습니다.
회사 비유를 사용하면 Trail of Bits의 역할은 "코드 EMT"에 더 가깝습니다. 즉, OpenAI 소프트웨어 기능을 사용하여 오픈 소스 유지관리자가 잠재적인 보안 위험을 식별하고 계층적으로 처리하도록 지원합니다. 그러나 현재 공개된 정보로 볼 때, 이 프로젝트가 장기적으로 어떻게 운영될 것인지, 향후 더 큰 규모로 확장될 것인지에 대해서는 여전히 불확실성이 많습니다.
오픈 소스 소프트웨어는 오늘날 상용 소프트웨어 산업의 디지털 "기반"으로 간주됩니다. 그러나 고도로 단편화된 생태계와 취약한 감독으로 인해 이들 프로젝트 중 상당수는 보안 문제가 충분하지 않습니다. 널리 사용되는 오픈 소스 구성 요소에서 심각한 취약점이 노출되면 그 결과는 수많은 상용 시스템으로 빠르게 확산될 수 있습니다. 이전에 널리 알려진 log4j 취약점 사건이 대표적인 사례입니다.
Anthropic의 보안 도구 Mythos를 둘러싼 최근 논란은 유사한 AI 시스템이 자동으로 코드 기반의 취약점을 찾아 악용을 시도할 수 있다는 사실에서 비롯됩니다. 사이버 범죄 자동화가 새로운 것은 아니지만 이러한 새로운 도구는 의심할 여지 없이 악의적인 행위자가 공격을 시작하는 임계값을 크게 낮췄습니다. 이번에 OpenAI는 유사한 기술을 "역활용"하고 AI를 사용하여 오픈 소스 커뮤니티가 스스로를 보호할 수 있도록 노력하고 있습니다. 외부 세계에서 볼 때 이는 Anthropic에 대한 경쟁적 대응일 뿐만 아니라 보안 기능 및 리소스 측면에서 오픈 소스 세계의 장기적인 문제점이기도 합니다.