---
title: "Patch the Planet：一项支持开源维护者的 Daybreak 计划"
title_en: "Patch the Planet: a Daybreak initiative to support open source maintainers"
source: "OpenAI"
source_url: "https://openai.com/index/patch-the-planet"
published_at: "2026-06-22T10:00:00.000Z"
language: "zh-CN"
topics: ["openai"]
tags: ["OpenAI","Security"]
review_status: "unreviewed"
---

# Patch the Planet：一项支持开源维护者的 Daybreak 计划

> OpenAI 联合 Trail of Bits 推出 Patch the Planet 计划，利用 AI 辅助安全研究和专家人工审查，帮助开源维护者发现并修补关键软件漏洞。

## 内容摘要

OpenAI 宣布启动 Patch the Planet 计划，与 Trail of Bits 合作，结合 AI 模型（如 GPT-5.5-Cyber）和人工安全审查，为开源项目提供漏洞发现、验证、补丁开发及披露协调的全流程支持。初始合作项目包括 cURL、NATS Server、pyca/cryptography 等 19 个关键开源项目。早期成果包括在 Linux 内核、OpenBSD、Fre

## 为什么值得关注

开源软件是现代数字基础设施的基石，但维护者常因资源有限而难以应对日益增长的漏洞报告。Patch the Planet 通过 AI 加速漏洞发现和修复，同时由专家把关，确保高质量补丁，从而保护全球依赖这些软件的用户和组织，降低网络攻击风险。

## 核心要点

- OpenAI 与 Trail of Bits 合作推出 Patch the Planet，为开源维护者提供 AI 辅助的漏洞发现和修复支持。
- 初始覆盖 19 个关键开源项目，包括 cURL、Go、Python 等，未来将扩展。
- AI 模型在 Linux 内核、OpenBSD、FreeBSD 等中发现了大量漏洞，部分已修复。
- 所有发现结果在提交维护者前均经过安全工程师人工审查，减少误报。
- 计划提供可重复使用的工作流程，如模糊测试、变体分析、差异测试等，帮助项目长期提升安全性。

[跳到主内容](#main)

* [研究](https://openai.com/research/index/)
* 产品
* [企业](https://openai.com/business/)
* [开发者](https://openai.com/api/)
* [公司](https://openai.com/about/)
* [基金会（在新窗口打开）](https://openaifoundation.org/)

登录[试用 ChatGPT（在新窗口打开）](https://chatgpt.com/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)

* 研究
* 产品
* 企业
* 开发者
* 公司
* [基金会（在新窗口打开）](https://openaifoundation.org/)

Patch the Planet：一项支持开源维护者的 Daybreak 计划 | OpenAI

2026 年 6 月 22 日

[安全](https://openai.com/news/security/)

# Patch the Planet：一项支持开源维护者的 Daybreak 计划

收听文章11:06

分享

Patch the Planet 如何运作

* [Patch the Planet 如何运作](#patch-the-planet-如何运作)
* [来自开发者的早期现场笔记和发现](#来自开发者的早期现场笔记和发现)
* [OpenAI Daybreak 已经发现了什么](#openai-daybreak-已经发现了什么)  
   * [操作系统](#操作系统)  
   * [网络](#网络)  
   * [浏览器](#浏览器)
* [共享基础设施，共同防御](#共享基础设施共同防御)

* [Patch the Planet 如何运作](#patch-the-planet-如何运作)
* [来自开发者的早期现场笔记和发现](#来自开发者的早期现场笔记和发现)
* [OpenAI Daybreak 已经发现了什么](#openai-daybreak-已经发现了什么)  
   * [操作系统](#操作系统)  
   * [网络](#网络)  
   * [浏览器](#浏览器)
* [共享基础设施，共同防御](#共享基础设施共同防御)

我们正在推出 Patch the Planet，这是一项与 Trail of Bits 共同发起的 [Daybreak⁠](https://openai.com/daybreak/) 计划，旨在帮助维护者加固全球依赖的关键开源软件。我们结合了 AI 辅助的安全研究（使用我们最擅长网络安全的模型）和专家的人工审查，不仅是为了发现漏洞，更是为了帮助修补它们。

AI 正在加速漏洞的发现，但仅仅发现并不能保护用户。许多维护者已经被要求用同样有限的时间和资源，更快地处理更多的报告。Patch the Planet 的建立是为了减轻这种负担，而不是增加它：安全工程师在发现结果到达维护者之前进行审查，与项目合作开发补丁和测试，并构建可重复使用的工作流程，帮助团队在首次修复之后继续提高安全性。

[Trail of Bits 已承诺将其整个安全研究组织⁠（在新窗口打开）](https://blog.trailofbits.com/2026/06/22/introducing-patch-the-planet)投入到我们这项初步的集中行动中。他们直接与维护者合作，调查和验证漏洞，开发和测试补丁，并协调漏洞的披露。

此外，我们还将与 HackerOne 和 Calif 合作，他们正在帮助我们进一步推进工作，包括漏洞分类、协调披露以及额外的重点漏洞发现工作。

## Patch the Planet 如何运作

Patch the Planet 下的每次合作都始于与维护者的咨询。对于每次合作，安全工程师都会与维护者一起了解每个项目的需求、偏好，以及额外的安全工作在哪些方面最有用：漏洞验证、补丁开发、CI/CD（持续集成/持续部署）改进，还是长期的安全工程。一旦达成一致，研究人员就会调查潜在的漏洞，验证有意义的问题，开发或完善补丁，支持测试，并通过项目既定的渠道协调披露。

最初的参与者包括 cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go 项目、freenginx、Python 和 python.org。这些项目支持广泛使用的网络、密码学、软件供应链和语言基础设施，加强这些项目的安全性可以使大量下游产品和服务受益。更多项目将在未来几轮中加入。

安全研究人员配备了我们的前沿模型以及 [Codex Security⁠（在新窗口打开）](https://developers.openai.com/codex/security)，以支持分析、补丁开发、测试和文档编写。参与项目将获得 ChatGPT Pro 的访问权限；有条件地访问 Codex Security；以及用于核心开源开发、维护者自动化和发布工作流程的 API 额度。Trail of Bits 已经开发了用于去重、分类和打补丁的 AI 辅助工作流程，项目可以在这些支持下运行。

## 来自开发者的早期现场笔记和发现

Trail of Bits 已指派安全工程师全职使用 Codex 和 GPT‑5.5‑Cyber 在 19 个开源项目上工作，并已识别出数百个安全问题，合并了数十个补丁，还有更多补丁正在协调披露中。

最初的冲刺还产生了可重复使用的安全基础设施：模糊测试工具（fuzzing harnesses，一种自动向程序输入随机或异常数据以发现漏洞的工具）、历史 CVE（通用漏洞披露，Common Vulnerabilities and Exposures，一种公开已知安全漏洞的列表）分析管道、差异测试系统、威胁模型、扩展的测试套件，以及用于去重、误报过滤、严重性修正和补丁生成的工作流程。随着测试、修复和协调披露的进展，一些项目特定的细节将在稍后分享。一些早期的例子展示了团队能够构建和发现什么：

**不到一天就建成了一个模糊测试实验室。** Trail of Bits 的工程师使用重复的 Codex /goal 运行（配合 GPT‑5.5‑Cyber）构建了一个完整的模糊测试实验室，覆盖了数十个入口点、变体构建、平台和新颖的测试种子。工程师设定目标并优化提示（prompts，给 AI 的指令）；然后系统利用覆盖率反馈不断扩展到新的表面，瞄准边缘情况，并过滤掉弱或无效的候选。

Trail of Bits 的工程师发现，在有限的指导下，GPT‑5.5‑Cyber 在哪些方面扩展覆盖率、探测哪些构建和入口点，以及哪些候选太弱不值得继续跟进方面做出了有用的选择。整个设置完成不到一天。Trail of Bits 估计，手动构建同样的实验室通常至少需要几周时间。

**一个用于发现已知漏洞变体的可重用管道。** 团队构建了一个端到端的系统，该系统摄取历史 CVE，提取相关的漏洞模式，在目标代码库中搜索相关缺陷，并将候选发现结果发送给专门的评判代理。该管道对结果进行去重，过滤可能的误报，并将最强有力的证据路由给安全工程师进行人工确认。

这将多年的公开漏洞历史转化为一种可重复的搜索策略，可以跨项目应用。Trail of Bits 发现模型在这种变体分析中特别有效，这揭示了正在审查的代码库中的许多额外问题。

![标题为“历史 CVE 驱动的变体发现和验证”的图表，显示从左到右的工作流程。历史 CVE 源由编排器处理成工件，然后按问题分发给 Codex。每个问题通过一个问题门、两个误报判断检查、重复检查和一个最终报告门。结果包括：跳过/无变体、拒绝为误报或重复，或报告有效的非重复发现。](https://images.ctfassets.net/kftzwdyauwt9/1FdfJiqBj3KDJuILWCMDNL/5c20edb9ff6251562ea2a9fad651c9ae/Historical_CVE_variant_analysis_light_desktop.svg?w=3840&q=90)

**差异测试从几周或几个月缩短到几天。** 同一协议的不同实现通常在相同输入下应该表现相同。当它们出现分歧时，其中一个可能包含错误。大规模应用这个想法通常很困难，因为工程师必须编写自定义的垫片（shim）和粘合代码（glue code），将每个实现连接到一个通用的测试工具。

Codex 生成并迭代了这些代码，使得多个实现可以相互进行模糊测试，并调查它们的行为差异。该工作流程过滤了许多弱或无效的结果，并产生了一组相对高信号（high-signal，指结果质量高、噪音少）的候选结果供专家审查。团队在几天内就达到了这些结果，压缩了历史上需要数周或数月的工作。Trail of Bits 在发布项目特定细节之前，正在继续扩展和完善这些测试。

**根据其规范承诺的行为测试软件。** 团队使用 Codex 开发了威胁模型、攻击分类法、不变性测试（invariant tests，检查程序某些属性是否始终成立的测试）和基于属性的测试（property-based tests，根据程序应满足的通用属性生成测试用例），这些测试基于项目规范和 RFC（请求意见稿，Request for Comments，一种互联网技术标准文档）。这些方法揭示了预期行为和实际行为之间的显著差异，同时为项目留下了更广泛的测试覆盖、更强的文档，以及对 CI/CD 和软件供应链工具的改进。

**每个发现结果在到达维护者之前都经过安全工程师审查。** Trail of Bits 的工程师在将每个安全问题提交给维护者之前都进行了人工审查，这一步的附加价值不容低估。虽然前沿 AI 模型在发现和修补漏洞方面能力很强，但它们也会产生大量的误报，这可能会加剧维护者已经面临的积压问题。Patch the Planet 通过让专门的 Trail of Bits 研究人员重现证据、根据项目特定文档和威胁模型检查发现、删除重复项、重新评估严重性，并优先确认的漏洞进行修复来解决这个问题。他们还根据维护者的偏好开发和提交补丁。维护者仍然控制着哪些补丁被部署以及如何处理披露。

## OpenAI Daybreak 已经发现了什么

Patch the Planet 建立在更广泛的 Daybreak 工作基础上，这些工作展示了前沿模型如何帮助防御者发现、验证和修复广泛使用软件中的严重漏洞。

我们在此分享一些早期的亮点，同时隐瞒了利用机制和项目特定细节（如果披露仍在进行中）。随着修复的落地和协调披露的完成，我们计划发布更深入的技术报告，详细说明个别发现、研究方法、验证工作流程以及其他防御者可以借鉴的经验教训。

我们的发现涵盖了软件栈的每一层，还有更多发现仍在披露过程中。

### 操作系统

* **Linux 内核：** GPT‑5.5‑Cyber 在超过 3000 万行代码中识别出与安全相关的组件，标记了潜在的安全问题，然后动态验证了它们，生成了 8 个内核指针信息泄露的概念验证（PoC，Proof-of-Concept，一种证明漏洞存在的演示代码）和 24 个本地权限提升（LPE，Local Privilege Escalation，允许低权限用户获得更高系统权限的攻击）的利用代码。我们注意到，识别出了数百个问题，这只是自动生成了 PoC 的子集。
* **OpenBSD：** 我们的模型在 OpenBSD 内核的 System V 信号量实现中发现了一个存在 23 年的[释放后使用（use-after-free，一种内存漏洞，程序释放内存后仍使用其指针）⁠（在新窗口打开）](https://github.com/openbsd/src/commit/1957873d2063db11dab780eca75b5e629d1e838d)漏洞。OpenAI 研究人员重现了该问题，并确认它可能允许一个无特权的本地用户将权限提升到 root。
* **FreeBSD：** Calif 的安全研究人员使用 Codex 发现并验证了 [FreeBSD⁠（在新窗口打开）](https://www.freebsd.org/security/advisories/FreeBSD-SA-26:19.file.asc) 中的[几个⁠（在新窗口打开）](https://www.freebsd.org/security/advisories/FreeBSD-SA-26:18.setcred.asc) [LPE⁠（在新窗口打开）](https://www.freebsd.org/security/advisories/FreeBSD-SA-26:21.ptrace.asc) 漏洞，并使用了概念验证利用代码。在更广泛的 FreeBSD 活动中，OpenAI 研究人员确认了 34 个漏洞，并生成了 7 个本地权限提升的 PoC。

### 网络

* **dnsmasq**：Codex Security 独立识别出了与后来在 `2.92rel2` 中修复的六个 dnsmasq CVE 中的四个相对应的漏洞模式：[CVE-2026-4890⁠（在新窗口打开）](https://www.cve.org/CVERecord?id=CVE-2026-4890)、[CVE-2026-4891⁠（在新窗口打开）](https://www.cve.org/CVERecord?id=CVE-2026-4891)、[CVE-2026-4892⁠（在新窗口打开）](https://www.cve.org/CVERecord?id=CVE-2026-4892) 和 [CVE-2026-5172⁠（在新窗口打开）](https://www.cve.org/CVERecord?id=CVE-2026-5172)。
* **HTTP/2 Bomb**：Calif 使用 Codex 识别出了“[HTTP/2 Bomb⁠（在新窗口打开）](https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb)”，这是一种拒绝服务（DoS，Denial-of-Service，使服务不可用的攻击）技术，影响了主要的 HTTP/2 实现，包括 NGINX、Apache、IIS 和 Pingora。Calif 的分析表明，超过 88 万个面向互联网的网站正在运行受影响的服务器软件并启用了 HTTP/2。

### 浏览器

* **Chrome**：OpenAI 研究人员发现并报告了 Chrome 的 V8 JavaScript 引擎中的五个可利用漏洞，其中三个在引入后几天内就被识别并修复。
* **Safari**：在大约一周的集中 WebKit 工作中，发现并报告了超过 10 个可利用的 Safari 漏洞。
* **Firefox**：OpenAI Preparedness 在[安全评估⁠（在新窗口打开）](https://deploymentsafety.openai.com/gpt-5-5/vulnlmp)期间使用 GPT‑5.5 识别出了一个 WebAssembly 漏洞（[CVE-2026-8390⁠（在新窗口打开）](https://nvd.nist.gov/vuln/detail/CVE-2026-8390)），Mozilla 在 Pwn2Own Berlin 比赛前两天修补了该漏洞，导致五个已注册的 Firefox 参赛条目退出。在该比赛中，没有 Firefox 的利用代码被成功演示。

## 共享基础设施，共同防御

开源软件是共享的基础设施。保护它应该是共同的工作。AI 正在改变漏洞发现的速度，现在的工作是确保好处能够到达最需要它们的维护者和用户手中。

Patch the Planet 旨在将完整的防御循环服务于维护者：发现、验证、严重性审查、披露、补丁开发、测试和部署。前沿模型可以使这个循环的某些部分更快，但目标是给负责共享基础设施的人提供更好的工具和更强的能力，同时保留他们对变更如何落地的自主权。

这第一次冲刺展示了维护者、安全工程师和 AI 辅助工作流程之间的持续合作可以产生什么：即时的修复、更强的项目基础设施，以及可以持续改进开源软件的可重用安全工作。

这仅仅是个开始。随着更多修复的落地和协调披露的完成，我们计划发布关于选定发现的更深入技术报告，用于发现和验证它们的方法，以及防御者可以调整以帮助保护每个人依赖的软件的工作流程。如果你是一名维护者，你可以[在此处⁠（在新窗口打开）](https://trailofbits.com/patch-the-planet)申请加入 Patch the Planet。

* [2026](https://openai.com/news/?tags=2026)

## 作者

OpenAI

## 继续阅读

[查看全部](https://openai.com/news/)

![扩展 Daybreak 艺术卡片](https://images.ctfassets.net/kftzwdyauwt9/735NOZviyogUBIFxd2EmWX/fa8baf9fc26e64f442ffa86d5fd9a41e/Art_Card__6_.png?w=3840&q=90&fm=webp)

[Daybreak：保护世界上每个组织的工具安全2026 年 6 月 22 日](https://openai.com/index/daybreak-securing-the-world/)

![codex windows > 艺术卡片](https://images.ctfassets.net/kftzwdyauwt9/6ZvTl8ZL23BOhoI6jz0EmR/49d6038b9f92773d4f866f4bfacabdbf/Art_Card__5_.png?w=3840&q=90&fm=webp)

[构建一个安全有效的沙箱，使 Codex 能在 Windows 上运行工程2026 年 5 月 13 日](https://openai.com/index/building-codex-windows-sandbox/)

![框架](https://images.ctfassets.net/kftzwdyauwt9/32jPyVqUObkTrIIyA6tJV1/4eb384b5bb2f21ccea5de7665858a37a/Frame.png?w=3840&q=90&fm=webp)

[我们对 TanStack npm 供应链攻击的回应公司2026 年 5 月 13 日](https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/)

研究
* [研究索引](https://openai.com/research/index/)
* [研究概览](https://openai.com/research/)
* [经济研究](https://openai.com/signals/)

最新进展
* [GPT-5.6](https://openai.com/index/gpt-5-6/)
* [GPT-5.5](https://openai.com/index/introducing-gpt-5-5/)
* [GPT-5.4](https://openai.com/index/introducing-gpt-5-4/)

安全
* [安全方法](https://openai.com/safety/)
* [部署安全（在新窗口打开）](https://deploymentsafety.openai.com/)
* [安全与隐私](https://openai.com/security-and-privacy/)
* [信任与透明度](https://openai.com/trust-and-transparency/)

产品
* [ChatGPT（在新窗口打开）](https://chatgpt.com/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [ChatGPT Business（在新窗口打开）](https://chatgpt.com/business/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [ChatGPT Enterprise（在新窗口打开）](https://chatgpt.com/business/enterprise/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [ChatGPT for Education（在新窗口打开）](https://chatgpt.com/business/education/?openaicom-did=7a4bcc53-c9b1-4a92-add7-fe3d58b1f127&openaicom%5Freferred=true)
* [Codex](https://openai.com/codex/)
* [发布说明](https://openai.com/products/release-notes/)

API 平台
* [概览](https://openai.com/api/)
* [API 登录（在新窗口打开）](https://platform.openai.com/login)
* [文档（在新窗口打开）](https://developers.openai.com/api/docs)

企业
* [概览](https://openai.com/business/)
* [解决方案](https://openai.com/solutions/)
* [资源](https://openai.com/business/learn/)
* [客户案例](https://openai.com/business/customer-stories/)
* [合作伙伴网络](https://openai.com/business/partners/)
* [联系销售](https://openai.com/contact-sales/)

开发者
* [Apps SDK（在新窗口打开）](https://developers.openai.com/apps-sdk)
* [开放模型](https://openai.com/open-models/)
* [文档（在新窗口打开）](https://developers.openai.com/)
* [资源（在新窗口打开）](https://developers.openai.com/learn)
* [开发者论坛（在新窗口打开）](https://community.openai.com/)

公司
* [关于我们](https://openai.com/about/)
* [我们的章程](https://openai.com/charter/)
* [职业机会](https://openai.com/careers/)
* [新闻](https://openai.com/news/)

支持
* [帮助中心（在新窗口打开）](https://help.openai.com/)

更多
* [故事](https://openai.com/stories/)
* [学院](https://openai.com/academy/)
* [直播](https://openai.com/live/)
* [播客](https://openai.com/podcast/)
* [RSS](https://openai.com/news/rss.xml)

条款与政策
* [使用条款](https://openai.com/policies/terms-of-use/)
* [隐私政策](https://openai.com/policies/privacy-policy/)
* [其他政策](https://openai.com/policies/)

[（在新窗口打开）](https://x.com/OpenAI)[（在新窗口打开）](https://www.youtube.com/OpenAI)[（在新窗口打开）](https://www.linkedin.com/company/openai)[（在新窗口打开）](https://github.com/openai)[（在新窗口打开）](https://www.instagram.com/openai/)[（在新窗口打开）](https://www.tiktok.com/@openai)[（在新窗口打开）](https://discord.gg/openai)

OpenAI © 2015–2026您的隐私选择

英语美国

![](https://bat.bing.com/action/0?ti=187204252&Ver=2&mid=79fe275d-2164-4e03-9bef-e346bcfc604e&bo=1&sid=ad39f1307dc411f1b4528907e58230b0&vid=ad3a4fb07dc411f18e4b63ff60bcffc6&vids=1&msclkid=N&pi=918639831&lg=en-US&sw=800&sh=600&sc=24&nwd=1&tl=Patch%20the%20Planet%3A%20a%20Daybreak%20initiative%20to%20support%20open%20source%20maintainers%20%7C%20OpenAI&p=https%3A%2F%2Fopenai.com%2Findex%2Fpatch-the-planet%2F&r=&lt=1905&evt=pageLoad&sv=2&cdb=AQAQ&rn=367678)

---

英文原文：[Patch the Planet: a Daybreak initiative to support open source maintainers](https://openai.com/index/patch-the-planet)
