W świecie, gdzie linijki kodu potrafią więcej niż niejeden człowiek po trzeciej kawie, bezpieczeństwo cyfrowe to nie tylko domena administratorów serwerów. OpenAI postanowiło wyjść naprzeciw nowym wyzwaniom i opublikowało właśnie swoją Outbound Coordinated Disclosure Policy – dokument opisujący, jak firma będzie zgłaszać błędy bezpieczeństwa wykryte w oprogramowaniu stron trzecich.
Co to oznacza w praktyce? OpenAI nie tylko rozwija sztuczną inteligencję, ale także korzysta z jej możliwości, by tropić luki w kodzie – i to nie tylko swoim. Modele AI tej firmy potrafią już dziś wykrywać tzw. zero-day vulnerabilities (czyli podatności, o których nie wiedzą jeszcze sami twórcy oprogramowania). Firma postanowiła więc wziąć odpowiedzialność i uregulować sposób, w jaki będzie dzielić się takimi odkryciami z resztą świata.
Co znajdziemy w polityce?
Nowy dokument określa zasady zgłaszania błędów w oprogramowaniu open source i komercyjnym – zarówno tych znalezionych ręcznie, jak i wykrytych przez automaty AI. Źródła? Mogą to być badania naukowe, audyty wykorzystywanych przez OpenAI projektów open source czy też analiza kodu przy użyciu narzędzi AI.
W dokumencie zawarto m.in.:
- sposób walidacji i priorytetyzowania znalezionych luk,
- proces kontaktowania się z dostawcami oprogramowania,
- warunki publikowania informacji o podatnościach (z założenia najpierw niepublicznie),
- zasady działania: współpraca, dyskrecja, działanie na dużą skalę przy minimalnym tarciu i szacunek do twórców oprogramowania.
Co ciekawe, OpenAI nie narzuca sztywnych terminów na ujawnianie podatności. Firma zdaje sobie sprawę, że AI dopiero zaczyna rozumieć kod naprawdę dobrze – a znalezienie, zrozumienie i załatanie skomplikowanego błędu może wymagać czasu i współpracy. To trochę jak remont starego domu – najpierw trzeba rozpoznać, co się sypie, a potem nie szkodzić jeszcze bardziej.
A co dalej?
OpenAI zapowiada, że polityka będzie się rozwijać – razem z możliwościami AI. Wszystkich zainteresowanych i mających pytania, firma zaprasza do kontaktu pod adresem: outbounddisclosures@openai.com.
Na koniec warto przytoczyć jedną z zasad, która przebija się przez cały dokument: bezpieczeństwo to proces, nie cel. I – jak mawiał pewien klasyk – „lepiej naprawić kod dzisiaj, niż jutro gasić pożar”.