Patch the Planet:一项支持开源维护者的 Daybreak 计划
英文标题:Patch the Planet: a Daybreak initiative to support open source maintainers
OpenAI 联合 Trail of Bits 推出 Patch the Planet 计划,利用 AI 辅助安全研究和专家人工审查,帮助开源维护者发现并修补关键软件漏洞。
本文目录
- 研究
- 产品
- 企业
- 开发者
- 公司
- 基金会(在新窗口打开)
- 研究
- 产品
- 企业
- 开发者
- 公司
- 基金会(在新窗口打开)
Patch the Planet:一项支持开源维护者的 Daybreak 计划 | OpenAI
2026 年 6 月 22 日
Patch the Planet:一项支持开源维护者的 Daybreak 计划
收听文章11:06
分享
Patch the Planet 如何运作
我们正在推出 Patch the Planet,这是一项与 Trail of Bits 共同发起的 Daybreak 计划,旨在帮助维护者加固全球依赖的关键开源软件。我们结合了 AI 辅助的安全研究(使用我们最擅长网络安全的模型)和专家的人工审查,不仅是为了发现漏洞,更是为了帮助修补它们。
AI 正在加速漏洞的发现,但仅仅发现并不能保护用户。许多维护者已经被要求用同样有限的时间和资源,更快地处理更多的报告。Patch the Planet 的建立是为了减轻这种负担,而不是增加它:安全工程师在发现结果到达维护者之前进行审查,与项目合作开发补丁和测试,并构建可重复使用的工作流程,帮助团队在首次修复之后继续提高安全性。
Trail of Bits 已承诺将其整个安全研究组织(在新窗口打开)投入到我们这项初步的集中行动中。他们直接与维护者合作,调查和验证漏洞,开发和测试补丁,并协调漏洞的披露。
此外,我们还将与 HackerOne 和 Calif 合作,他们正在帮助我们进一步推进工作,包括漏洞分类、协调披露以及额外的重点漏洞发现工作。
Patch the Planet 如何运作
Patch the Planet 下的每次合作都始于与维护者的咨询。对于每次合作,安全工程师都会与维护者一起了解每个项目的需求、偏好,以及额外的安全工作在哪些方面最有用:漏洞验证、补丁开发、CI/CD(持续集成/持续部署)改进,还是长期的安全工程。一旦达成一致,研究人员就会调查潜在的漏洞,验证有意义的问题,开发或完善补丁,支持测试,并通过项目既定的渠道协调披露。
最初的参与者包括 cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go 项目、freenginx、Python 和 python.org。这些项目支持广泛使用的网络、密码学、软件供应链和语言基础设施,加强这些项目的安全性可以使大量下游产品和服务受益。更多项目将在未来几轮中加入。
安全研究人员配备了我们的前沿模型以及 Codex Security(在新窗口打开),以支持分析、补丁开发、测试和文档编写。参与项目将获得 ChatGPT Pro 的访问权限;有条件地访问 Codex Security;以及用于核心开源开发、维护者自动化和发布工作流程的 API 额度。Trail of Bits 已经开发了用于去重、分类和打补丁的 AI 辅助工作流程,项目可以在这些支持下运行。
来自开发者的早期现场笔记和发现
Trail of Bits 已指派安全工程师全职使用 Codex 和 GPT‑5.5‑Cyber 在 19 个开源项目上工作,并已识别出数百个安全问题,合并了数十个补丁,还有更多补丁正在协调披露中。
最初的冲刺还产生了可重复使用的安全基础设施:模糊测试工具(fuzzing harnesses,一种自动向程序输入随机或异常数据以发现漏洞的工具)、历史 CVE(通用漏洞披露,Common Vulnerabilities and Exposures,一种公开已知安全漏洞的列表)分析管道、差异测试系统、威胁模型、扩展的测试套件,以及用于去重、误报过滤、严重性修正和补丁生成的工作流程。随着测试、修复和协调披露的进展,一些项目特定的细节将在稍后分享。一些早期的例子展示了团队能够构建和发现什么:
不到一天就建成了一个模糊测试实验室。 Trail of Bits 的工程师使用重复的 Codex /goal 运行(配合 GPT‑5.5‑Cyber)构建了一个完整的模糊测试实验室,覆盖了数十个入口点、变体构建、平台和新颖的测试种子。工程师设定目标并优化提示(prompts,给 AI 的指令);然后系统利用覆盖率反馈不断扩展到新的表面,瞄准边缘情况,并过滤掉弱或无效的候选。
Trail of Bits 的工程师发现,在有限的指导下,GPT‑5.5‑Cyber 在哪些方面扩展覆盖率、探测哪些构建和入口点,以及哪些候选太弱不值得继续跟进方面做出了有用的选择。整个设置完成不到一天。Trail of Bits 估计,手动构建同样的实验室通常至少需要几周时间。
一个用于发现已知漏洞变体的可重用管道。 团队构建了一个端到端的系统,该系统摄取历史 CVE,提取相关的漏洞模式,在目标代码库中搜索相关缺陷,并将候选发现结果发送给专门的评判代理。该管道对结果进行去重,过滤可能的误报,并将最强有力的证据路由给安全工程师进行人工确认。
这将多年的公开漏洞历史转化为一种可重复的搜索策略,可以跨项目应用。Trail of Bits 发现模型在这种变体分析中特别有效,这揭示了正在审查的代码库中的许多额外问题。
差异测试从几周或几个月缩短到几天。 同一协议的不同实现通常在相同输入下应该表现相同。当它们出现分歧时,其中一个可能包含错误。大规模应用这个想法通常很困难,因为工程师必须编写自定义的垫片(shim)和粘合代码(glue code),将每个实现连接到一个通用的测试工具。
Codex 生成并迭代了这些代码,使得多个实现可以相互进行模糊测试,并调查它们的行为差异。该工作流程过滤了许多弱或无效的结果,并产生了一组相对高信号(high-signal,指结果质量高、噪音少)的候选结果供专家审查。团队在几天内就达到了这些结果,压缩了历史上需要数周或数月的工作。Trail of Bits 在发布项目特定细节之前,正在继续扩展和完善这些测试。
根据其规范承诺的行为测试软件。 团队使用 Codex 开发了威胁模型、攻击分类法、不变性测试(invariant tests,检查程序某些属性是否始终成立的测试)和基于属性的测试(property-based tests,根据程序应满足的通用属性生成测试用例),这些测试基于项目规范和 RFC(请求意见稿,Request for Comments,一种互联网技术标准文档)。这些方法揭示了预期行为和实际行为之间的显著差异,同时为项目留下了更广泛的测试覆盖、更强的文档,以及对 CI/CD 和软件供应链工具的改进。
每个发现结果在到达维护者之前都经过安全工程师审查。 Trail of Bits 的工程师在将每个安全问题提交给维护者之前都进行了人工审查,这一步的附加价值不容低估。虽然前沿 AI 模型在发现和修补漏洞方面能力很强,但它们也会产生大量的误报,这可能会加剧维护者已经面临的积压问题。Patch the Planet 通过让专门的 Trail of Bits 研究人员重现证据、根据项目特定文档和威胁模型检查发现、删除重复项、重新评估严重性,并优先确认的漏洞进行修复来解决这个问题。他们还根据维护者的偏好开发和提交补丁。维护者仍然控制着哪些补丁被部署以及如何处理披露。
OpenAI Daybreak 已经发现了什么
Patch the Planet 建立在更广泛的 Daybreak 工作基础上,这些工作展示了前沿模型如何帮助防御者发现、验证和修复广泛使用软件中的严重漏洞。
我们在此分享一些早期的亮点,同时隐瞒了利用机制和项目特定细节(如果披露仍在进行中)。随着修复的落地和协调披露的完成,我们计划发布更深入的技术报告,详细说明个别发现、研究方法、验证工作流程以及其他防御者可以借鉴的经验教训。
我们的发现涵盖了软件栈的每一层,还有更多发现仍在披露过程中。
操作系统
- Linux 内核: GPT‑5.5‑Cyber 在超过 3000 万行代码中识别出与安全相关的组件,标记了潜在的安全问题,然后动态验证了它们,生成了 8 个内核指针信息泄露的概念验证(PoC,Proof-of-Concept,一种证明漏洞存在的演示代码)和 24 个本地权限提升(LPE,Local Privilege Escalation,允许低权限用户获得更高系统权限的攻击)的利用代码。我们注意到,识别出了数百个问题,这只是自动生成了 PoC 的子集。
- OpenBSD: 我们的模型在 OpenBSD 内核的 System V 信号量实现中发现了一个存在 23 年的释放后使用(use-after-free,一种内存漏洞,程序释放内存后仍使用其指针)(在新窗口打开)漏洞。OpenAI 研究人员重现了该问题,并确认它可能允许一个无特权的本地用户将权限提升到 root。
- FreeBSD: Calif 的安全研究人员使用 Codex 发现并验证了 FreeBSD(在新窗口打开) 中的几个(在新窗口打开) LPE(在新窗口打开) 漏洞,并使用了概念验证利用代码。在更广泛的 FreeBSD 活动中,OpenAI 研究人员确认了 34 个漏洞,并生成了 7 个本地权限提升的 PoC。
网络
- dnsmasq:Codex Security 独立识别出了与后来在
2.92rel2中修复的六个 dnsmasq CVE 中的四个相对应的漏洞模式:CVE-2026-4890(在新窗口打开)、CVE-2026-4891(在新窗口打开)、CVE-2026-4892(在新窗口打开) 和 CVE-2026-5172(在新窗口打开)。 - HTTP/2 Bomb:Calif 使用 Codex 识别出了“HTTP/2 Bomb(在新窗口打开)”,这是一种拒绝服务(DoS,Denial-of-Service,使服务不可用的攻击)技术,影响了主要的 HTTP/2 实现,包括 NGINX、Apache、IIS 和 Pingora。Calif 的分析表明,超过 88 万个面向互联网的网站正在运行受影响的服务器软件并启用了 HTTP/2。
浏览器
- Chrome:OpenAI 研究人员发现并报告了 Chrome 的 V8 JavaScript 引擎中的五个可利用漏洞,其中三个在引入后几天内就被识别并修复。
- Safari:在大约一周的集中 WebKit 工作中,发现并报告了超过 10 个可利用的 Safari 漏洞。
- Firefox:OpenAI Preparedness 在安全评估(在新窗口打开)期间使用 GPT‑5.5 识别出了一个 WebAssembly 漏洞(CVE-2026-8390(在新窗口打开)),Mozilla 在 Pwn2Own Berlin 比赛前两天修补了该漏洞,导致五个已注册的 Firefox 参赛条目退出。在该比赛中,没有 Firefox 的利用代码被成功演示。
共享基础设施,共同防御
开源软件是共享的基础设施。保护它应该是共同的工作。AI 正在改变漏洞发现的速度,现在的工作是确保好处能够到达最需要它们的维护者和用户手中。
Patch the Planet 旨在将完整的防御循环服务于维护者:发现、验证、严重性审查、披露、补丁开发、测试和部署。前沿模型可以使这个循环的某些部分更快,但目标是给负责共享基础设施的人提供更好的工具和更强的能力,同时保留他们对变更如何落地的自主权。
这第一次冲刺展示了维护者、安全工程师和 AI 辅助工作流程之间的持续合作可以产生什么:即时的修复、更强的项目基础设施,以及可以持续改进开源软件的可重用安全工作。
这仅仅是个开始。随着更多修复的落地和协调披露的完成,我们计划发布关于选定发现的更深入技术报告,用于发现和验证它们的方法,以及防御者可以调整以帮助保护每个人依赖的软件的工作流程。如果你是一名维护者,你可以在此处(在新窗口打开)申请加入 Patch the Planet。
作者
OpenAI
继续阅读

Daybreak:保护世界上每个组织的工具安全2026 年 6 月 22 日

构建一个安全有效的沙箱,使 Codex 能在 Windows 上运行工程2026 年 5 月 13 日

我们对 TanStack npm 供应链攻击的回应公司2026 年 5 月 13 日
研究
最新进展
安全
产品
- ChatGPT(在新窗口打开)
- ChatGPT Business(在新窗口打开)
- ChatGPT Enterprise(在新窗口打开)
- ChatGPT for Education(在新窗口打开)
- Codex
- 发布说明
API 平台
企业
开发者
公司
支持
更多
条款与政策
(在新窗口打开)(在新窗口打开)(在新窗口打开)(在新窗口打开)(在新窗口打开)(在新窗口打开)(在新窗口打开)
OpenAI © 2015–2026您的隐私选择
英语美国
在页面中展开原始 Markdown
---
title: "Patch the Planet:一项支持开源维护者的 Daybreak 计划"
title_en: "Patch the Planet: a Daybreak initiative to support open source maintainers"
source: "OpenAI"
source_url: "https://openai.com/index/patch-the-planet"
published_at: "2026-06-22T10:00:00.000Z"
language: "zh-CN"
topics: ["openai"]
tags: ["OpenAI","Security"]
review_status: "unreviewed"
---
# Patch the Planet:一项支持开源维护者的 Daybreak 计划
> OpenAI 联合 Trail of Bits 推出 Patch the Planet 计划,利用 AI 辅助安全研究和专家人工审查,帮助开源维护者发现并修补关键软件漏洞。
## 内容摘要
OpenAI 宣布启动 Patch the Planet 计划,与 Trail of Bits 合作,结合 AI 模型(如 GPT-5.5-Cyber)和人工安全审查,为开源项目提供漏洞发现、验证、补丁开发及披露协调的全流程支持。初始合作项目包括 cURL、NATS Server、pyca/cryptography 等 19 个关键开源项目。早期成果包括在 Linux 内核、OpenBSD、Fre
## 为什么值得关注
开源软件是现代数字基础设施的基石,但维护者常因资源有限而难以应对日益增长的漏洞报告。Patch the Planet 通过 AI 加速漏洞发现和修复,同时由专家把关,确保高质量补丁,从而保护全球依赖这些软件的用户和组织,降低网络攻击风险。
## 核心要点
- OpenAI 与 Trail of Bits 合作推出 Patch the Planet,为开源维护者提供 AI 辅助的漏洞发现和修复支持。
- 初始覆盖 19 个关键开源项目,包括 cURL、Go、Python 等,未来将扩展。
- AI 模型在 Linux 内核、OpenBSD、FreeBSD 等中发现了大量漏洞,部分已修复。
- 所有发现结果在提交维护者前均经过安全工程师人工审查,减少误报。
- 计划提供可重复使用的工作流程,如模糊测试、变体分析、差异测试等,帮助项目长期提升安全性。
[跳到主内容](#main)
* [研究](https://openai.com/research/index/)
* 产品
* [企业](https://openai.com/business/)
* [开发者](https://openai.com/api/)
* [公司](https://openai.com/about/)
* [基金会(在新窗口打开)](https://openaifoundation.org/)
登录[试用 ChatGPT(在新窗口打开)](https://chatgpt.com/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* 研究
* 产品
* 企业
* 开发者
* 公司
* [基金会(在新窗口打开)](https://openaifoundation.org/)
Patch the Planet:一项支持开源维护者的 Daybreak 计划 | OpenAI
2026 年 6 月 22 日
[安全](https://openai.com/news/security/)
# Patch the Planet:一项支持开源维护者的 Daybreak 计划
收听文章11:06
分享
Patch the Planet 如何运作
* [Patch the Planet 如何运作](#patch-the-planet-如何运作)
* [来自开发者的早期现场笔记和发现](#来自开发者的早期现场笔记和发现)
* [OpenAI Daybreak 已经发现了什么](#openai-daybreak-已经发现了什么)
* [操作系统](#操作系统)
* [网络](#网络)
* [浏览器](#浏览器)
* [共享基础设施,共同防御](#共享基础设施共同防御)
* [Patch the Planet 如何运作](#patch-the-planet-如何运作)
* [来自开发者的早期现场笔记和发现](#来自开发者的早期现场笔记和发现)
* [OpenAI Daybreak 已经发现了什么](#openai-daybreak-已经发现了什么)
* [操作系统](#操作系统)
* [网络](#网络)
* [浏览器](#浏览器)
* [共享基础设施,共同防御](#共享基础设施共同防御)
我们正在推出 Patch the Planet,这是一项与 Trail of Bits 共同发起的 [Daybreak](https://openai.com/daybreak/) 计划,旨在帮助维护者加固全球依赖的关键开源软件。我们结合了 AI 辅助的安全研究(使用我们最擅长网络安全的模型)和专家的人工审查,不仅是为了发现漏洞,更是为了帮助修补它们。
AI 正在加速漏洞的发现,但仅仅发现并不能保护用户。许多维护者已经被要求用同样有限的时间和资源,更快地处理更多的报告。Patch the Planet 的建立是为了减轻这种负担,而不是增加它:安全工程师在发现结果到达维护者之前进行审查,与项目合作开发补丁和测试,并构建可重复使用的工作流程,帮助团队在首次修复之后继续提高安全性。
[Trail of Bits 已承诺将其整个安全研究组织(在新窗口打开)](https://blog.trailofbits.com/2026/06/22/introducing-patch-the-planet)投入到我们这项初步的集中行动中。他们直接与维护者合作,调查和验证漏洞,开发和测试补丁,并协调漏洞的披露。
此外,我们还将与 HackerOne 和 Calif 合作,他们正在帮助我们进一步推进工作,包括漏洞分类、协调披露以及额外的重点漏洞发现工作。
## Patch the Planet 如何运作
Patch the Planet 下的每次合作都始于与维护者的咨询。对于每次合作,安全工程师都会与维护者一起了解每个项目的需求、偏好,以及额外的安全工作在哪些方面最有用:漏洞验证、补丁开发、CI/CD(持续集成/持续部署)改进,还是长期的安全工程。一旦达成一致,研究人员就会调查潜在的漏洞,验证有意义的问题,开发或完善补丁,支持测试,并通过项目既定的渠道协调披露。
最初的参与者包括 cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go 项目、freenginx、Python 和 python.org。这些项目支持广泛使用的网络、密码学、软件供应链和语言基础设施,加强这些项目的安全性可以使大量下游产品和服务受益。更多项目将在未来几轮中加入。
安全研究人员配备了我们的前沿模型以及 [Codex Security(在新窗口打开)](https://developers.openai.com/codex/security),以支持分析、补丁开发、测试和文档编写。参与项目将获得 ChatGPT Pro 的访问权限;有条件地访问 Codex Security;以及用于核心开源开发、维护者自动化和发布工作流程的 API 额度。Trail of Bits 已经开发了用于去重、分类和打补丁的 AI 辅助工作流程,项目可以在这些支持下运行。
## 来自开发者的早期现场笔记和发现
Trail of Bits 已指派安全工程师全职使用 Codex 和 GPT‑5.5‑Cyber 在 19 个开源项目上工作,并已识别出数百个安全问题,合并了数十个补丁,还有更多补丁正在协调披露中。
最初的冲刺还产生了可重复使用的安全基础设施:模糊测试工具(fuzzing harnesses,一种自动向程序输入随机或异常数据以发现漏洞的工具)、历史 CVE(通用漏洞披露,Common Vulnerabilities and Exposures,一种公开已知安全漏洞的列表)分析管道、差异测试系统、威胁模型、扩展的测试套件,以及用于去重、误报过滤、严重性修正和补丁生成的工作流程。随着测试、修复和协调披露的进展,一些项目特定的细节将在稍后分享。一些早期的例子展示了团队能够构建和发现什么:
**不到一天就建成了一个模糊测试实验室。** Trail of Bits 的工程师使用重复的 Codex /goal 运行(配合 GPT‑5.5‑Cyber)构建了一个完整的模糊测试实验室,覆盖了数十个入口点、变体构建、平台和新颖的测试种子。工程师设定目标并优化提示(prompts,给 AI 的指令);然后系统利用覆盖率反馈不断扩展到新的表面,瞄准边缘情况,并过滤掉弱或无效的候选。
Trail of Bits 的工程师发现,在有限的指导下,GPT‑5.5‑Cyber 在哪些方面扩展覆盖率、探测哪些构建和入口点,以及哪些候选太弱不值得继续跟进方面做出了有用的选择。整个设置完成不到一天。Trail of Bits 估计,手动构建同样的实验室通常至少需要几周时间。
**一个用于发现已知漏洞变体的可重用管道。** 团队构建了一个端到端的系统,该系统摄取历史 CVE,提取相关的漏洞模式,在目标代码库中搜索相关缺陷,并将候选发现结果发送给专门的评判代理。该管道对结果进行去重,过滤可能的误报,并将最强有力的证据路由给安全工程师进行人工确认。
这将多年的公开漏洞历史转化为一种可重复的搜索策略,可以跨项目应用。Trail of Bits 发现模型在这种变体分析中特别有效,这揭示了正在审查的代码库中的许多额外问题。

**差异测试从几周或几个月缩短到几天。** 同一协议的不同实现通常在相同输入下应该表现相同。当它们出现分歧时,其中一个可能包含错误。大规模应用这个想法通常很困难,因为工程师必须编写自定义的垫片(shim)和粘合代码(glue code),将每个实现连接到一个通用的测试工具。
Codex 生成并迭代了这些代码,使得多个实现可以相互进行模糊测试,并调查它们的行为差异。该工作流程过滤了许多弱或无效的结果,并产生了一组相对高信号(high-signal,指结果质量高、噪音少)的候选结果供专家审查。团队在几天内就达到了这些结果,压缩了历史上需要数周或数月的工作。Trail of Bits 在发布项目特定细节之前,正在继续扩展和完善这些测试。
**根据其规范承诺的行为测试软件。** 团队使用 Codex 开发了威胁模型、攻击分类法、不变性测试(invariant tests,检查程序某些属性是否始终成立的测试)和基于属性的测试(property-based tests,根据程序应满足的通用属性生成测试用例),这些测试基于项目规范和 RFC(请求意见稿,Request for Comments,一种互联网技术标准文档)。这些方法揭示了预期行为和实际行为之间的显著差异,同时为项目留下了更广泛的测试覆盖、更强的文档,以及对 CI/CD 和软件供应链工具的改进。
**每个发现结果在到达维护者之前都经过安全工程师审查。** Trail of Bits 的工程师在将每个安全问题提交给维护者之前都进行了人工审查,这一步的附加价值不容低估。虽然前沿 AI 模型在发现和修补漏洞方面能力很强,但它们也会产生大量的误报,这可能会加剧维护者已经面临的积压问题。Patch the Planet 通过让专门的 Trail of Bits 研究人员重现证据、根据项目特定文档和威胁模型检查发现、删除重复项、重新评估严重性,并优先确认的漏洞进行修复来解决这个问题。他们还根据维护者的偏好开发和提交补丁。维护者仍然控制着哪些补丁被部署以及如何处理披露。
## OpenAI Daybreak 已经发现了什么
Patch the Planet 建立在更广泛的 Daybreak 工作基础上,这些工作展示了前沿模型如何帮助防御者发现、验证和修复广泛使用软件中的严重漏洞。
我们在此分享一些早期的亮点,同时隐瞒了利用机制和项目特定细节(如果披露仍在进行中)。随着修复的落地和协调披露的完成,我们计划发布更深入的技术报告,详细说明个别发现、研究方法、验证工作流程以及其他防御者可以借鉴的经验教训。
我们的发现涵盖了软件栈的每一层,还有更多发现仍在披露过程中。
### 操作系统
* **Linux 内核:** GPT‑5.5‑Cyber 在超过 3000 万行代码中识别出与安全相关的组件,标记了潜在的安全问题,然后动态验证了它们,生成了 8 个内核指针信息泄露的概念验证(PoC,Proof-of-Concept,一种证明漏洞存在的演示代码)和 24 个本地权限提升(LPE,Local Privilege Escalation,允许低权限用户获得更高系统权限的攻击)的利用代码。我们注意到,识别出了数百个问题,这只是自动生成了 PoC 的子集。
* **OpenBSD:** 我们的模型在 OpenBSD 内核的 System V 信号量实现中发现了一个存在 23 年的[释放后使用(use-after-free,一种内存漏洞,程序释放内存后仍使用其指针)(在新窗口打开)](https://github.com/openbsd/src/commit/1957873d2063db11dab780eca75b5e629d1e838d)漏洞。OpenAI 研究人员重现了该问题,并确认它可能允许一个无特权的本地用户将权限提升到 root。
* **FreeBSD:** Calif 的安全研究人员使用 Codex 发现并验证了 [FreeBSD(在新窗口打开)](https://www.freebsd.org/security/advisories/FreeBSD-SA-26:19.file.asc) 中的[几个(在新窗口打开)](https://www.freebsd.org/security/advisories/FreeBSD-SA-26:18.setcred.asc) [LPE(在新窗口打开)](https://www.freebsd.org/security/advisories/FreeBSD-SA-26:21.ptrace.asc) 漏洞,并使用了概念验证利用代码。在更广泛的 FreeBSD 活动中,OpenAI 研究人员确认了 34 个漏洞,并生成了 7 个本地权限提升的 PoC。
### 网络
* **dnsmasq**:Codex Security 独立识别出了与后来在 `2.92rel2` 中修复的六个 dnsmasq CVE 中的四个相对应的漏洞模式:[CVE-2026-4890(在新窗口打开)](https://www.cve.org/CVERecord?id=CVE-2026-4890)、[CVE-2026-4891(在新窗口打开)](https://www.cve.org/CVERecord?id=CVE-2026-4891)、[CVE-2026-4892(在新窗口打开)](https://www.cve.org/CVERecord?id=CVE-2026-4892) 和 [CVE-2026-5172(在新窗口打开)](https://www.cve.org/CVERecord?id=CVE-2026-5172)。
* **HTTP/2 Bomb**:Calif 使用 Codex 识别出了“[HTTP/2 Bomb(在新窗口打开)](https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb)”,这是一种拒绝服务(DoS,Denial-of-Service,使服务不可用的攻击)技术,影响了主要的 HTTP/2 实现,包括 NGINX、Apache、IIS 和 Pingora。Calif 的分析表明,超过 88 万个面向互联网的网站正在运行受影响的服务器软件并启用了 HTTP/2。
### 浏览器
* **Chrome**:OpenAI 研究人员发现并报告了 Chrome 的 V8 JavaScript 引擎中的五个可利用漏洞,其中三个在引入后几天内就被识别并修复。
* **Safari**:在大约一周的集中 WebKit 工作中,发现并报告了超过 10 个可利用的 Safari 漏洞。
* **Firefox**:OpenAI Preparedness 在[安全评估(在新窗口打开)](https://deploymentsafety.openai.com/gpt-5-5/vulnlmp)期间使用 GPT‑5.5 识别出了一个 WebAssembly 漏洞([CVE-2026-8390(在新窗口打开)](https://nvd.nist.gov/vuln/detail/CVE-2026-8390)),Mozilla 在 Pwn2Own Berlin 比赛前两天修补了该漏洞,导致五个已注册的 Firefox 参赛条目退出。在该比赛中,没有 Firefox 的利用代码被成功演示。
## 共享基础设施,共同防御
开源软件是共享的基础设施。保护它应该是共同的工作。AI 正在改变漏洞发现的速度,现在的工作是确保好处能够到达最需要它们的维护者和用户手中。
Patch the Planet 旨在将完整的防御循环服务于维护者:发现、验证、严重性审查、披露、补丁开发、测试和部署。前沿模型可以使这个循环的某些部分更快,但目标是给负责共享基础设施的人提供更好的工具和更强的能力,同时保留他们对变更如何落地的自主权。
这第一次冲刺展示了维护者、安全工程师和 AI 辅助工作流程之间的持续合作可以产生什么:即时的修复、更强的项目基础设施,以及可以持续改进开源软件的可重用安全工作。
这仅仅是个开始。随着更多修复的落地和协调披露的完成,我们计划发布关于选定发现的更深入技术报告,用于发现和验证它们的方法,以及防御者可以调整以帮助保护每个人依赖的软件的工作流程。如果你是一名维护者,你可以[在此处(在新窗口打开)](https://trailofbits.com/patch-the-planet)申请加入 Patch the Planet。
* [2026](https://openai.com/news/?tags=2026)
## 作者
OpenAI
## 继续阅读
[查看全部](https://openai.com/news/)

[Daybreak:保护世界上每个组织的工具安全2026 年 6 月 22 日](https://openai.com/index/daybreak-securing-the-world/)

[构建一个安全有效的沙箱,使 Codex 能在 Windows 上运行工程2026 年 5 月 13 日](https://openai.com/index/building-codex-windows-sandbox/)

[我们对 TanStack npm 供应链攻击的回应公司2026 年 5 月 13 日](https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/)
研究
* [研究索引](https://openai.com/research/index/)
* [研究概览](https://openai.com/research/)
* [经济研究](https://openai.com/signals/)
最新进展
* [GPT-5.6](https://openai.com/index/gpt-5-6/)
* [GPT-5.5](https://openai.com/index/introducing-gpt-5-5/)
* [GPT-5.4](https://openai.com/index/introducing-gpt-5-4/)
安全
* [安全方法](https://openai.com/safety/)
* [部署安全(在新窗口打开)](https://deploymentsafety.openai.com/)
* [安全与隐私](https://openai.com/security-and-privacy/)
* [信任与透明度](https://openai.com/trust-and-transparency/)
产品
* [ChatGPT(在新窗口打开)](https://chatgpt.com/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [ChatGPT Business(在新窗口打开)](https://chatgpt.com/business/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [ChatGPT Enterprise(在新窗口打开)](https://chatgpt.com/business/enterprise/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [ChatGPT for Education(在新窗口打开)](https://chatgpt.com/business/education/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [Codex](https://openai.com/codex/)
* [发布说明](https://openai.com/products/release-notes/)
API 平台
* [概览](https://openai.com/api/)
* [API 登录(在新窗口打开)](https://platform.openai.com/login)
* [文档(在新窗口打开)](https://developers.openai.com/api/docs)
企业
* [概览](https://openai.com/business/)
* [解决方案](https://openai.com/solutions/)
* [资源](https://openai.com/business/learn/)
* [客户案例](https://openai.com/business/customer-stories/)
* [合作伙伴网络](https://openai.com/business/partners/)
* [联系销售](https://openai.com/contact-sales/)
开发者
* [Apps SDK(在新窗口打开)](https://developers.openai.com/apps-sdk)
* [开放模型](https://openai.com/open-models/)
* [文档(在新窗口打开)](https://developers.openai.com/)
* [资源(在新窗口打开)](https://developers.openai.com/learn)
* [开发者论坛(在新窗口打开)](https://community.openai.com/)
公司
* [关于我们](https://openai.com/about/)
* [我们的章程](https://openai.com/charter/)
* [职业机会](https://openai.com/careers/)
* [新闻](https://openai.com/news/)
支持
* [帮助中心(在新窗口打开)](https://help.openai.com/)
更多
* [故事](https://openai.com/stories/)
* [学院](https://openai.com/academy/)
* [直播](https://openai.com/live/)
* [播客](https://openai.com/podcast/)
* [RSS](https://openai.com/news/rss.xml)
条款与政策
* [使用条款](https://openai.com/policies/terms-of-use/)
* [隐私政策](https://openai.com/policies/privacy-policy/)
* [其他政策](https://openai.com/policies/)
[(在新窗口打开)](https://x.com/OpenAI)[(在新窗口打开)](https://www.youtube.com/OpenAI)[(在新窗口打开)](https://www.linkedin.com/company/openai)[(在新窗口打开)](https://github.com/openai)[(在新窗口打开)](https://www.instagram.com/openai/)[(在新窗口打开)](https://www.tiktok.com/@openai)[(在新窗口打开)](https://discord.gg/openai)
OpenAI © 2015–2026您的隐私选择
英语美国

---
英文原文:[Patch the Planet: a Daybreak initiative to support open source maintainers](https://openai.com/index/patch-the-planet)