OpenAI'den Açık Kaynak Güvenliğine Dev Yatırım: Patch the Planet
OpenAI, açık kaynak yazılımlardaki güvenlik açıklarını yapay zeka ve uzman incelemesiyle tespit edip düzeltmeyi amaçlayan Patch the Planet girişimini duyurdu. Trail of Bits, HackerOne ve Calif iş birliğiyle yürütülen program, cURL, NATS Server, Python gibi kritik projeleri hedefliyor.
Girişim ve Ortaklıklar
OpenAI, açık kaynak yazılımların güvenliğini artırmak için Patch the Planet adlı yeni bir girişim başlattı. Daybreak inisiyatifinin bir parçası olan bu program, Trail of Bits, HackerOne ve Calif gibi siber güvenlik firmalarıyla iş birliği içinde yürütülüyor. Amaç, yapay zeka destekli güvenlik araştırmalarını insan uzman incelemesiyle birleştirerek açık kaynak projelerdeki güvenlik açıklarını bulmak ve düzeltmek. OpenAI, en yetenekli siber modellerini (örneğin GPT-5.5-Cyber) kullanarak güvenlik açıklarını tespit ediyor, ancak keşif tek başına yeterli değil. Bu nedenle, güvenlik mühendisleri bulguları bakımcılara ulaşmadan önce doğruluyor, yamalar geliştiriyor ve test ediyor.
Katılımcı Projeler ve Çalışma Süreci
İlk aşamada cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, Go projesi, freenginx, Python ve python.org gibi kritik altyapı projeleri yer alıyor. Her iş birliği, bakımcının ihtiyaçlarına göre özelleştiriliyor. Güvenlik mühendisleri, projenin ihtiyaçlarını anlamak için bakımcılarla görüşüyor; ardından güvenlik açığı doğrulama, yama geliştirme, CI/CD iyileştirmeleri veya uzun vadeli güvenlik mühendisliği gibi alanlarda çalışıyor. Araştırmacılar, OpenAI'nin en gelişmiş modelleri ve Codex Security aracıyla analiz, yama geliştirme, test ve dokümantasyon yapıyor. Katılımcı projeler, ChatGPT Pro, Codex Security'e koşullu erişim ve API kredileri alıyor.
Önemli Bulgular ve Erken Başarılar
Trail of Bits, 19 açık kaynak projede tam zamanlı çalışarak yüzlerce güvenlik sorunu tespit etti ve düzinelerce yama birleştirdi. İlk sprintte ayrıca yeniden kullanılabilir güvenlik altyapıları oluşturuldu: fuzzing koşumları, geçmiş CVE analiz hatları, diferansiyel test sistemleri, tehdit modelleri ve yama üretimi için iş akışları. Öne çıkan bazı bulgular:
- Linux Çekirdeği: GPT-5.5-Cyber, 30 milyon satır kod içinde güvenlikle ilgili bileşenleri tespit etti, 8 çekirdek işaretçi sızıntısı ve 24 yerel ayrıcalık yükseltme (LPE) istismarı (PoC) üretti.
- OpenBSD: 23 yıllık bir use-after-free (kullanım-sonrası-serbest) hatası bulundu; bu hata, ayrıcalıksız yerel bir kullanıcının root yetkisi almasına izin verebiliyor.
- FreeBSD: Calif araştırmacıları, Codex kullanarak birden fazla LPE buldu ve doğruladı; toplamda 34 güvenlik açığı ve 7 LPE PoC'si üretildi.
- dnsmasq: Codex Security, daha sonra yamalanan altı CVE'den dördünü bağımsız olarak tespit etti.
- HTTP/2 Bomb: Calif, Codex ile büyük HTTP/2 uygulamalarını etkileyen bir hizmet reddi (DoS) tekniği keşfetti; 880.000'den fazla web sitesinin etkilenmiş olabileceği belirtildi.
- Chrome: OpenAI araştırmacıları, V8 JavaScript motorunda beş istismar edilebilir güvenlik açığı buldu ve bildirdi.
- Safari: Yaklaşık bir haftalık çalışmayla 10'dan fazla istismar edilebilir güvenlik açığı bulundu.
- Firefox: OpenAI Preparedness, WebAssembly'de bir güvenlik açığı (CVE-2026-8390) tespit etti; Mozilla, Pwn2Own Berlin'den iki gün önce yamayı yayınladı ve beş Firefox kaydı yarışmadan çekildi.
Neden Önemli?
Türkiye'de de açık kaynak yazılımlar, kamu ve özel sektörde yaygın olarak kullanılıyor. Özellikle Python, Go ve cURL gibi projeler, birçok yerli uygulamanın temelini oluşturuyor. Patch the Planet gibi girişimler, bu projelerin güvenliğini artırarak Türk geliştiricilerin ve şirketlerin daha güvenli yazılımlar üretmesine katkı sağlayabilir. Ayrıca, yapay zeka destekli güvenlik taramalarının yaygınlaşması, açık kaynak ekosistemindeki güvenlik açıklarının daha hızlı kapatılmasını sağlayarak siber saldırı riskini azaltabilir. Türkiye'deki açık kaynak toplulukları, bu tür uluslararası iş birliklerinden öğrenebilir ve kendi projelerinde benzer yöntemleri uygulayabilir.
