米OpenAIは、オープンソースソフトウェアの脆弱性修正を支援する新プロジェクト「Patch the Planet」を発表した。
AIによる脆弱性探索と専門家レビューを組み合わせ、検証、修正、テスト、開示調整まで支援する。
AIと専門家で脆弱性修正まで支援
OpenAIが2026年6月22日に発表したPatch the Planetは、同社のサイバー防衛構想「Daybreak」の一環に位置づけられる取り組みである。
対象は、世界中の製品やサービスを支えるOSS(※)であり、単に欠陥を見つけるだけでなく、保守者と相談しながら検証、パッチ開発、テスト、開示調整まで支援する。
初期参加プロジェクトには、cURL、NATS Server、pyca/cryptography、Sigstore、aiohttp、Go、freenginx、Python、python.orgなどが含まれる。
ネットワーク、暗号、ソフトウェア供給網、言語基盤の中核を担う領域が対象だ。
今回の発表においては、サイバーセキュリティ研究・コンサルティング会社のTrail of Bitsによる取り組みが紹介された。
同社は、初期集中期間に自社のセキュリティ研究組織を投入し、OpenAIの高性能モデルやCodex Securityを使った。
19のオープンソースプロジェクトで数百件の課題を特定し、すでに多数のパッチをマージしたという。
取り組みでは、AIの出力を保守者に直接送るのではなく、専門家が再現性、重複、深刻度、プロジェクト固有の事情を確認する。
さらに、保守者の意向に沿って修正案やテストも整える。HackerOneやCalifも、脆弱性のトリアージや協調的な開示を支援する。
OpenAIは関連成果として、Linux Kernel、OpenBSD、FreeBSD、dnsmasq、Chrome、Safari、Firefoxなどでの発見例も示した。
ただし、修正や開示が進行中の案件については、攻撃手法や詳細情報を伏せている。
※OSS:ソースコードが公開され、誰でも利用・改良・再配布できるソフトウェア。多くの企業サービスやクラウド基盤の土台にも使われている。
発見力向上と誤検知対策が焦点
今回の発表が示す最大の意義は、AIによる脆弱性探索を「見つける技術」から「直し切る仕組み」へ広げようとしている点にある。
人手だけでは数週間から数カ月かかる工程を短縮できれば、OSS全体の防御力は高まりやすい。
一方で、AI活用には明確なリスクもある。
高性能モデルは有用な候補を出す一方、誤検知や重複報告も生みやすい。
保守者はすでに限られた時間で開発、レビュー、リリース対応を担っており、未整理の脆弱性報告が増えれば、むしろ負担が増す可能性がある。
今後は、参加プロジェクトの拡大と技術報告の公開が焦点となる。
成功例が積み上がれば、OSS保守を企業や専門組織が共同で支える新しい防衛モデルとして広がる可能性がある。
関連記事:
SB C&SがLinux Foundationと提携 公式教育提供でOSS人材育成はどう変わるか
OpenAI、サイバー防衛AI「Daybreak」発表 AI時代のソフト開発は“常時防御”へ
