OpenAI 新計畫用 AI 幫開源社群抓漏洞補洞，把防守能力送進最缺人的角落

OpenAI 啟動一項以 AI 協助開源社群找漏洞、補漏洞的計畫，目標很清楚：讓那些撐起整個軟體世界、卻長年缺人缺錢的開源專案，能用上自動化的安全能力。今天從手機到雲端服務，底層都疊著大量開源元件，其中不少由極少數志工在業餘維護，安全審查長期是奢侈品。

把 AI 推進這個環節的合理性在於規模與枯燥度。找漏洞需要逐行讀大量程式、反覆驗證可疑路徑，正是人力最稀缺、最容易疲乏出錯的苦工，也正是模型能大量、不喊累地代勞的地方。先讓模型跑一輪、標出可疑處交人複核，能把有限的人力集中在真正需要判斷的決策點上。

這條線跟近期整個產業把『AI 防守』做成商品的方向一致。本站上一期才談過最大模型公司開始把資安能力標準化、向開源維護者開放；OpenAI 這次的計畫等於同一股力量的延伸——攻擊方早就在用 AI 找破口，防守方若不跟上，差距只會擴大。

要打的折扣是：AI 抓漏洞會誤報、也會漏報，最終仍需人類專家定奪，否則可能淹沒維護者本就稀薄的精力，甚至被一堆雜訊拖垮。真正的考驗在落地細節——複核機制夠不夠紮實、會不會反而製造噪音。但方向上，把最燒人力的安全苦工交給模型先跑，對開源生態確實是雪中送炭。