2026 年 6 月 22 日,距离柏林 Pwn2Own 黑客大赛仅剩两天,Mozilla 紧急推送了一个 Firefox 补丁。这个补丁修复的漏洞编号 CVE-2026-8390,位于 WebAssembly 引擎中——而发现它的并非任何一支注册参赛的战队,而是 OpenAI 的 GPT-5.5 模型在安全评估中自动扫描出来的。消息传出后,六支注册了 Firefox 目标的参赛队伍中,有五支选择退出。
这个戏剧性的插曲,是 OpenAI 当天宣布的「Patch the Planet」(补丁星球)计划中最具冲击力的注脚。该计划隶属于 OpenAI 今年 5 月推出的 Daybreak 网络安全项目,由 OpenAI 与著名安全研究公司 Trail of Bits 联合发起,并引入漏洞管理平台 HackerOne 和 Calif 作为协作方。它的核心逻辑直白得近乎天真:把最前沿的 AI 模型从「攻击者」变成「修补者」,用机器速度替开源项目堵上漏洞,而不是制造漏洞。
从「AI 太危险」到「AI 是安全基础设施」
Patch the Planet 的发布时机绝非巧合。就在十天前——6 月 12 日,Anthropic 在发布 Claude Fable 5 和 Mythos 5 仅三天后,就被美国商务部以国家安全为由下达出口管制指令,要求 Anthropic 禁止任何外国公民访问这两款模型。由于 Anthropic 无法按国籍精准筛选用户,最终只能将两款模型全球下线。据《华尔街日报》报道,触发这一决定的导火索是亚马逊 CEO Andy Jassy 向财政部长 Scott Bessent 等政府官员表示,亚马逊研究人员使用 Claude Fable 5 获取了可用于网络攻击的信息。
Anthropic 的遭遇为整个行业划下了一道刺眼的红线:当 AI 模型强大到足以自动发现和利用漏洞时,它究竟是武器还是盾牌?美国政府的选择是按下暂停键,而 OpenAI 给出的答案截然不同——不是限制模型能力,而是将能力导向防御。
OpenAI 网络安全技术负责人 Fouad Matin 的表述精准地捕捉了这一转向:「开源维护者出于对开源的热爱而工作,而现在他们被困在审查『AI 垃圾 CVE 报告』的泥潭里。」Patch the Planet 的目标是「尽可能高效地降低维护者的负担——代码库评估、验证潜在报告、创建补丁并落地。我们想抵消成本,无论是 token 还是人力,去尽可能多地修补世界上的软件。」
不是甩一堆报告,而是带着补丁上门
Patch the Planet 与目前泛滥的 AI 漏洞扫描工具有一个本质区别:它不向维护者倾倒未经筛选的 AI 生成报告。Trail of Bits 投入了其整个安全研究组织——在启动冲刺周中,约 25 名工程师(约占公司五分之一人力)同时投入,覆盖了 19 个开源项目。每一份 AI 发现都要经过安全工程师的人工审核,确认有效性、评估严重性、开发补丁,然后才送达维护者手中。
Trail of Bits CEO 兼联合创始人 Dan Guido 说:「Patch the Planet 是一项互联网规模的努力,旨在帮助开源软件领先于 AI 漏洞狩猎工具。但它也是一项努力,帮助开源社区看到 AI 编码工具的好处,而不仅仅是坏处。」
首周成果令人瞩目:数百个已发现漏洞、64 个 Pull Request、51 个 Issue(其中 19 个已关闭并修复),37 个补丁已合并。但这只是公开统计——更多发现通过 HackerOne、GitHub 安全公告、邮件列表和私有分支等渠道进行协调披露,尚未公开。
参与首轮的项目名单横跨了整个互联网基础设施:cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go 项目、freenginx、Python 和 python.org、urllib3、PyPI、SimpleX、Valkey、RustCrypto 等。目前已有超过 30 个项目加入,等候名单仍在增长。
值得注意的是,cURL 的参与尤其具有象征意义。其创始人兼首席开发者 Daniel Stenberg 是 AI 驱动漏洞报告泛滥最激烈的批评者之一——他曾撰文抨击这种现象为「被一千个 AI 垃圾报告慢慢淹死」。Patch the Planet 的「先审核、再提交」模式,恰恰回应了 Stenberg 这类维护者的核心诉求。
GPT-5.5-Cyber:防御专用的「网安特化模型」
Patch the Planet 的技术引擎是 GPT-5.5-Cyber——OpenAI 最强大的网络安全专用模型,在 CyberGym 基准测试中取得了 85.6% 的成绩,不仅超越了标准 GPT-5.5 的 81.8%,也压过了 Anthropic Mythos 5 的 83.8%。但 OpenAI 严格限制了该模型的访问权限:仅通过「Trusted Access for Cyber」计划向经过审查的防御方开放,不公开发布。
同时发布的 Codex Security 插件则面向更广泛的用户,可自动扫描代码、验证漏洞、生成补丁。自 3 月研究预览版上线以来,Codex Security 已扫描超过 3000 万次提交、覆盖超过 3 万个代码库,人工审核标记为「已修复」的发现超过 7 万项。Matin 透露,OpenAI 已为开源和私有代码的 Codex Security 使用补贴了「大约 20 万亿 token」。
Trail of Bits 的博客详细记录了几个令人印象深刻的案例:
一天搭建的 Fuzzing 实验室。 GPT-5.5-Cyber 接到「发现可远程利用的漏洞」这一目标后,自主决定通读一个被高度审查的 C 库源码是低效的 token 使用方式。它用不到一天时间搭建了完整的 fuzzing 实验室:消毒器和变体构建、基于现有测试的种子语料库、覆盖十几个入口点的 harness。更关键的是,它没有简单地对暴露 API 进行 fuzz,而是构建了一个注入操作系统背压的 harness,成功触达了此前未被探索的异常状态。Trail of Bits 估计,这些工作由一名 fuzzing 专家手动完成可能需要两到三周。
历史 CVE 变体分析流水线。 Codex 的 /goal 功能配合 GPT-5.5-Cyber 构建了针对历史 CVE 的变体分析流水线,产出几乎全部为高信号发现。在 dnsmasq 上,Codex 提前标记了与后来被分配 CVE 编号并修复的 6 个漏洞中 4 个相匹配的模式。
跨项目差分测试。 研究人员让 Codex 对实现了相同加密算法和标准(如 X.509 证书)的多个项目进行互相对照测试,发现了包括 PyCA 中 AES-GCM 问题和多个 X.509 问题在内的漏洞。
发现漏洞已不是难题——修复才是
Trail of Bits 在博客中写下了一句意味深长的判断:「发现漏洞现在是容易的部分。」安全工作的瓶颈已经从「找到漏洞」转移到「之后的一切」:确认发现的有效性、正确评估严重性、写出一份维护者愿意接受的补丁、加固周边代码、做出长期改进以防止类似问题再次出现,以及协调披露流程。
这正是 AI 生成报告泛滥对开源生态造成的真正威胁。OpenAI 援引 Linux 基金会与哈佛大学的研究指出,在广泛使用的开源项目中,94% 的项目由不到 10 名开发者负责超过 90% 的代码。当这些本就超负荷运转的维护者面对 AI 工具制造的漏洞报告洪流时,结果不是更安全,而是更大的积压。
Trail of Bits 开发了一个名为 Patchy 的机器人来追踪所有工作进度。Patchy 监控每个项目,将每一项新发现和已合并补丁推送到 Slack,并在补丁落地时庆祝性地喊出「PATCHY HAPPY」。但 Patchy 也揭示了一个核心问题:如果不提供项目特定的威胁模型和严重性标准,模型倾向于将所有发现都标记为「严重」。PyCA 的安全文档在减少误报方面「效果显著」,而像 AGENTS.md 这样明确告诉模型查阅哪些文档的文件则产生了「最一致和有效的结果」。
防御叙事与行业竞争
五眼情报联盟在 OpenAI 发布同日发表了一份罕见的联合声明,警告「前沿 AI 模型预计将超越当前行业预期,从根本上改变进攻性和防御性网络能力。时间线不是年,而是月……在这种环境下,网络韧性至关重要。」
这份声明无意中为 OpenAI 的策略提供了最佳背书。当 Anthropic 在与美国政府的对峙中被迫下线旗舰模型时,OpenAI 却在过去一个月内与澳大利亚、加拿大、法国、德国、日本、韩国及欧盟机构签署了 Trusted Access 合作协议,并宣布了 Daybreak 网络合作伙伴计划,启动伙伴包括 Accenture、Cisco、CrowdStrike、IBM、Okta、Palo Alto Networks 和 Wiz。
两家公司都在筹备 IPO,竞争的维度已远超产品层面。Anthropic 选择了一条更激进的道路——公开发布具有高级网络安全能力的模型,结果撞上了监管的墙。OpenAI 则选择了一条更审慎的路径:将最强能力锁在 Trusted Access 的围墙内,将叙事重心从「模型能力」转向「防御价值」。
Patch the Planet 的参与项目将获得六个月的 ChatGPT Pro 和六个月的 Codex Security 免费使用权,以及可长期沿用的基础设施和工作流改进。Guido 说:「到目前为止,Patch the Planet 只有大约一半时间花在发现漏洞上。我们试图找到最表层、最容易发现、最严重的漏洞并将它们清除,但另一半时间我们花在定制化 agent 上,让它们能持续在代码库上工作,这样我们可以把它们留给维护者,并教会他们如何使用。」
在一个 AI 安全叙事被「限制能力」和「出口管制」主导的时刻,OpenAI 用 Patch the Planet 开辟了另一条路径:不是阻止 AI 变得更强,而是让最强的 AI 站在防御者一边。对于长期被忽视的开源维护者而言,无论这种转向背后有多少商业考量,一批带着补丁上门的工程师总比另一堆 AI 生成的漏洞报告要好得多。
