OpenAI helpt opensourceprojecten door kwetsbaarheden te patchen

OpenAI start het project Patch the Planet in samenwerking met Trail of Bits. De twee bedrijven willen met AI-tools en beveiligingsexperts beveiligingslekken in opensourcesoftware opsporen en verhelpen. Grote opensourceprojecten als Python, Go en cURL zijn bij het initiatief aangesloten.

OpenAI ChatGPT Bron: NurPhoto/Getty ImagesVoor het project werken OpenAI, Trail of Bits en maintainers van opensourceprojecten samen om beveiligingslekken op te sporen en op te lossen. Dat gebeurt onder andere met de hulp van GPT-5.5-Cyber. Volgens het beveiligingsonderzoeksbedrijf Trail of Bits en OpenAI zijn er inmiddels dertig opensourceprojecten bij het initiatief aangesloten.

Daarbij zouden 'honderden bugs' ontdekt zijn. Tot dusver leidde dat tot 64 pullrequests, ofwel verzoeken om nieuwe code in de codebasis van een opensourceproject op te nemen. 37 van die verzoeken zijn inmiddels verwerkt. Onder meer cURL, NATS, pyca, Sigstore, aiohttp, het Go-project, freenginx, Python en python.org, urllib3, PyPI, SimpleX, Valkey en RustCrypto werken aan het project mee.

Overvloed aan bugmeldingen

De bedrijven startten het initiatief naar eigen zeggen omdat het dankzij AI veel gemakkelijker is geworden om bugs op te sporen en te melden. Tegelijkertijd krijgen maintainers veel meer meldingen, die allemaal verwerkt moeten worden. "Iedereen kan een probleem melden, met de eer strijken en weglopen."

Patch the Planet moet de last van deze nieuwe dynamiek wegnemen door te helpen filteren welke meldingen nuttig zijn en welke niet. Vervolgens werken de betrokkenen samen om patches te ontwikkelen en uit te brengen.

Het is onduidelijk of projecten op een of andere manier iets terug moeten geven voor de hulp van OpenAI en Trail of Bits. Het project leert ontwikkelaars volgens OpenAI in ieder geval om AI-tools te gebruiken in hun werkproces. 'Patch the planet' is een verwijzing naar de slagzin 'hack the planet' uit de cultklassieker Hackers uit 1995.

OpenAI's Daybreak als tegenhanger van Anthropics Project Glasswing

OpenAI kondigde onlangs Daybreak aan, een overkoepelend initiatief om cyberveiligheid te verbeteren door ontwikkelaars te helpen. Het initiatief lijkt een tegenhanger van Anthropics Project Glasswing te zijn.

Dit is een overkoepelende samenwerking tussen bedrijven en geeft hen toegang tot Claude Mythos. Deze geavanceerde AI-tool voor beveiliging is vooralsnog afgeschermd, omdat hiermee ook kwetsbaarheden kunnen worden uitgebuit. Er is inmiddels wel een publieke, minder krachtige versie beschikbaar.

Door Yannick Spinner

Redacteur

23-06-2026 • 14:33

15

Submitter: Anonymoussaurus

Reacties (15)

Sorteer op:

Weergave:

Er moest natuurlijk een weerwoord komen tegen Claude Mythos, maar misschien was het handiger geweest om de totale debunk van de claims van Antrophic te benoemen. Het blijft me verbazen hoe kritiekloos de media zijn richting de AI-bedrijven en alles maar als zoete koek slikken en publiceren.

https://www.flyingpenguin.com/the-boy-that-cried-mythos-verification-is-collapsing-trust-in-anthropic/
"totale debunk", wat jij linkt is ook maar iemands blog he?

De Cyberpocalyps zal wellicht meevallen, maar ChatGPT 5.5 en Mythos Fable (die ik een halve week heb kumnen probreren), lijken toch echt weer een stap verder te zijn.

Het is juist heel makkelijk om wat voorbeelden te vinden van waar AI de mist in gaat en dan wat te roepen over 'stochastische papegaaien'. Terwijl juist als je er mee aan de slag bent, je enorm veel waarde kan vinden.

Maar ook gevaar. Want voor een kwaadwillende zijn dit ook zeer krachtige tools. Vooral het reverse-engineering stuk van CVE naar exploit is domweg indrukwekkend. En maakt het aloude probleem van de wapenwedloop waarin "de verdediger atlijd moet winnen, de aanvaller maar 1 keer" echt weer een stuk pittiger voor de verdedigers.

[ed.]
In plaats van iemands blog, die vooral lijkt the cherry-picken om zijn punt te maken, neem ik liever de academische evaluaties van de AISI (brits overheidsinstituut) als uitgangspunt:
https://www.aisi.gov.uk/b...pt-5-5-cyber-capabilities
https://www.aisi.gov.uk/b...eviews-cyber-capabilities

Magie? Nee. Paniek? Nee. Serieus krachtig? Ja.

[Reactie gewijzigd door Keypunchie op 23 juni 2026 16:44]

Mooi voorbeeld van niet op de inhoud gaan maat op de man ("iemands blog hé"). Er wordt gedegen onderbouwd waarom de gevonden "bugs" én al bekend waren én vaak heel theoretisch zijn. Weinig nieuws aan terwijl Antrophic doet voorkomen alsof dat wel zo is. Op zich leuk dat AI het kan doen, maar de enorme ophef over een lijstje bestaande bugs?

De meerwaarde van AI? Een recent onderzoek naar het gebruik van AI in softwareontwikkeling geeft aan dat de ontwikkelaars denken dat ze meer doen, maar uiteindelijk tot 20% minder productief zijn. Dat de kwaliteit van de code schrikbarend achteruit gaat. Opstartproblemen wordt dan gezegd, maar zonder juniors (die nu massaal aan de kant gezet worden) straks geen seniors.

Een ander onderzoek onder bedrijven die AI "projecten" gestart hebben geeft aan dat maar 22% van die bedrijven aangeeft het project succesvol afgerond te hebben. Frappant is dan weer wel dat het in overgrote mate om veredelde chatbots gaat.

En het grootste probleem? Niemand kan de ROI van de inzet van AI bepalen. Leuk dat je dingen kan doen, maar als je niet van te voren de kosten ervan kunt bepalen is er in principe geen business model. En dat gaan steeds meer bedrijven inzien.

En dan laten we de gehele Ponzi-scheme waarbij honderden miljarden rondgepompt wordt maar even buiten beschouwing.
Er wordt helemaal niet gedegen onderbouwd. Er wordt gerant dat bepaalde dingen waar de auteur veel waarde aan hecht, zoals fuzzing, niet voorkomen in het document van Anthropic en op basis daarvan wordt een soort van "de hele wereld is gek, behalve ik" stelling geponeerd.

Daarnaast wordt ook totaal voorbijgegaan dat het punt van het document niet "de apocalyps" is, maar Mythos een significante verbetering tov Opus is (waar we al aanvallen van zien).

Dat wordt allemaal verpakt in heel sterke taal. Tsja, het is een standpunt en er valt wat voor te zeggen: anthropic doet wel heel alarmistisch. Daarmee is het nog geen "totale debunk" en daarmee is er ook nog niet geen vuiltje aan de lucht.

(zelf ga je taalsgewijs ook vrij stevig erin. Prima hoor, maar harde schreeuwers hebben niet automatisch gelijk)

[Reactie gewijzigd door Keypunchie op 24 juni 2026 09:29]

Met je reactie lijk je wel te bewijzen het hele artikel niet gelezen te hebben, maar nog belangrijker: niet te begrijpen wat de intentie van het artikel is.

Antrophic doet allerlei claims over Mythos, die in de eigen rapporten niet eens onderbouwd worden. De continu stroom aan onwaarheden die maar geroepen wordt, wordt eens tegengesproken. De journalisten die hijgerig en kritiekloos alles wat de AI-bedrijven roepen overnemen, waarbij de hyperbolen van de AI-bedrijven met nog grotere hyperbolen in de media gepubliceerd worden.

Natuurlijk kan Mythos iets dat eerdere LLM's niet konden, maar bij elk nieuw model is daar sprake van. Om elke keer te doen alsof de wereld totaal veranderd is, met grote claims komen die zelfs in je eigen rapportage niet onderbouwd worden, is HET probleem van de AI-wereld.
Tot zover de reclame. Dit alles in reactie op Claude Mythos.
Men moet wel. Deze opensource software draait op bijna zowat netwerkapparatuur en software die uiteindelijk het internet zijn. OpenSSL, Bind, ntp, NGINX, OpenLDAP, QLite, OpenDB, rsync, mongoDB, curl, Java, Perl, snort, bash, ISC, OpenSSH, SNMP, iptables, Kerberos, IProute2, syslog, OpenVPN en veel meer.

Dit heeft echt impact op elke fabrikant, Cisco, Juniper, Palo Alto, Infoblox, f5, Citrix, Checkpoint, Arista, HPE, Huawei, Viptela, Nokia, VMWare, Zscaler, etc.

Er zijn genoeg bad actors nog veel harder bezig om AI te gebruiken om overal kwetsbaarheden in te vinden.

[Reactie gewijzigd door kr4t0s op 23 juni 2026 15:14]

Men moet wel. Deze opensource software draait op bijna zowat netwerkapparatuur en software die uiteindelijk het internet zijn.
En andersom hebben ze een schuld opgebouwd naar open source projecten. Ik vermoed dat LLM's vrijwel alles wat ze weten over het schrijven van software hebben geleerd van Open Source projecten (en hier en daar een stack exchange of forum post). Dit is wel het minste dat ze terug kunnen doen.
Denk dat continuïteit belangrijker is. Voorheen werden wel eens kwetsbaarheden gevonden in deze applicaties, nu door AI zijn het er duizenden. Simpel weg doordat AI met meerdere agents 24/7 code van software kan analyseren. Wat een goede programmeur honderden jaren zou kosten en geestdodend werk is. Als een fijn land als Noord-Korea dit op grote schaal actief gaat misbruiken kan dat zomaar halve internet plat liggen.
Al deze bovenstaande fabrikanten brengen ondertussen in record tempo updates uit.
"Uit den goede van ons hart" uit de monden van grote corpo's is altijd opletten geblazen inderdaad. Manier om Mythos te bevechten (geen kans, die gekkigheid is te hard aangeslagen) + misschien de lessen geleerd uit open source weer terugvoeden in hun trainingsdata
Hoezo in reactie op Mythos? Elke paar weken is er weer een nieuw model. Mythos is gewoon één van de iteraties en andere volgen en verbeteren.

En sowieso, wat had je dan gewild, dat deze LLM-bedrijven deze LLM's vrijgeven en iedereen maar kwetsbaarheden kan opsporen en misbruiken? Dit is juist een goed initiatief! Door die tools in te zetten voorkom je juist nog meer ellende. Het is al code rood in cybersecurity land en dit soort initiatieven houden het nog enigszins behapbaar.
Oeh, een AI charme (marketing) offensief, het invesreringsgeld is nog niet op dus. Eens zien waar het heen gaat.
Misschien wel interessant om de cijfers over 2025 die OpenAI zelf publiceerde te bekijken:
  • Revenue: $13.07 billion
  • Cost of Revenue: $7.5 billion
  • Research and Development: $19.18 billion
  • Sales and Marketing: $5.73 billion
  • General and Administrative: $1.57 Billion
  • Total Costs and Expenses: $34 billion
13 miljard inkomsten, 34 miljard aan kosten. Maar hoe je in hemelsnaam 5.7 miljard aan Sales &Marketing uit kan geven, of wordt het "gratis" gebruik van tokens door nieuwe klanten daar ook in opgenomen?
Voor een deel van de security bugs geldt dat deze alleen met LLMs kosteneffectief gevonden kunnen worden, dus ondanks dat het echte bugs zijn is het dus deels een zelfgecreëerd probleem.
Dat is natuurlijk niet helemaal waar, alle bugs kunnen ook wel handmatig gevonden worden, en de definitie van kosteneffectief is nogal afhankelijk van wie de bug vind en patcht of misbruikt.

Om te kunnen reageren moet je ingelogd zijn