코딩하는 상인
OpenAI, 오픈소스 보안 지원 ‘Patch the Planet’ 발표…취약점 탐지 넘어 패치까지 커버 이미지
AI 속보

OpenAI, 오픈소스 보안 지원 ‘Patch the Planet’ 발표…취약점 탐지 넘어 패치까지

OpenAI가 Trail of Bits와 함께 Daybreak 이니셔티브 ‘Patch the Planet’을 발표했다. 핵심은 AI가 찾은 취약점을 인간 검토로 거른 뒤 패치·테스트·공개 조정까지 연결하는 오픈소스 유지관리자 지원 체계다.

코딩하는 상인 편집부·· 읽기 4오픈소스 유지관리자공식 출처 확인됨

OpenAI가 2026년 6월 22일 ‘Patch the Planet’을 발표했다. 이 프로그램은 Daybreak 이니셔티브 아래 Trail of Bits와 함께 진행되며, 오픈소스 유지관리자의 취약점 검증과 패치, 테스트, coordinated disclosure를 지원하는 것이 목표다. 단순히 취약점을 찾아내는 데서 끝내지 않고, 발견 이후의 수습까지 포함한 운영형 보안 협업이라는 점이 핵심이다.

지원 흐름은 먼저 유지관리자와의 상담으로 시작한다. 여기서 프로젝트 요구사항과 선호도, 추가 보안 지원이 필요한 지점을 함께 정리한 뒤, 보안 엔지니어가 잠재 취약점을 조사하고 AI 보안 연구를 수행한다. 이후 발견된 이슈는 보안 엔지니어가 유지관리자에게 전달하기 전에 먼저 검토한다. 이 단계에서 의미 있는 이슈를 재현하고, 중복과 false positive를 걸러내며, 심각도 판단을 조정한 다음 패치 개발과 테스트 지원, 공개 조정으로 이어진다.

OpenAI는 이 과정에서 자사 프런티어 모델과 Codex Security를 보안 연구에 활용한다고 밝혔다. 다만 공개된 설명상 AI가 만든 후보를 바로 넘기지 않고 인간 검토를 끼워 넣는 구조다. 이는 AI 보안 연구가 실무에 들어갈 때 가장 큰 문제로 꼽히는 오탐과 triage 부담을 줄이려는 설계로 읽힌다.

초기 참여 프로젝트는 cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, the Go project, freenginx, Python, python.org 등 9개다. 이들 프로젝트는 네트워킹, 암호화, 소프트웨어 공급망, 언어 인프라를 폭넓게 지원한다. OpenAI는 참여 프로젝트에 ChatGPT Pro 접근권, 조건부 Codex Security 접근권, 핵심 개발과 릴리스 워크플로우를 위한 API credits도 제공한다고 밝혔다.

Trail of Bits가 공개한 수치도 적지 않다. 이들은 GPT-5.5-Cyber와 Codex를 사용해 19개 오픈소스 프로젝트에 전담 보안 엔지니어를 배치했고, 수백 건의 보안 이슈를 식별해 수십 개의 패치를 병합했다고 말했다. 또 반복적인 Codex /goal runs으로 fuzzing lab을 만드는 데는 하루가 채 걸리지 않았지만, 같은 작업을 수작업으로 했다면 통상 수 주가 필요했을 것이라고 추정했다.

사례별 성과도 구체적이다. OpenAI는 Linux Kernel에서 3,000만 줄이 넘는 코드에서 보안 관련 구성요소를 식별했고, 8개의 kernel pointer information leak PoC와 24개의 local privilege escalation exploit을 생성했다고 밝혔다. OpenBSD에서는 커널 System V semaphores 구현의 23년 된 use-after-free를 찾아 재현했고, 권한 없는 로컬 사용자가 root로 권한을 상승시킬 수 있음을 확인했다고 설명했다. FreeBSD에서는 광범위한 캠페인 동안 34개의 취약점을 확인하고 7개의 local privilege escalation PoC를 만들었다.

문제는 아직 공개되지 않은 부분도 많다는 점이다. OpenAI는 프로젝트별 세부사항과 exploit mechanics는 testing, remediation, coordinated disclosure가 진행되는 동안 보류한다고 밝혔다. 다만 dnsmasq에서는 나중에 2.92rel2에서 수정된 6개 CVE 중 4개에 해당하는 취약 패턴을 Codex Security가 독립적으로 식별했다고 했고, Chrome V8에서는 5개의 exploitable vulnerability를 찾아 보고했으며 이 중 3개는 며칠 내 발견과 수정이 이뤄졌다고 밝혔다. Safari에서는 약 1주간의 집중 작업으로 10개가 넘는 exploitable vulnerability가 발견됐고, Firefox에서는 GPT-5.5가 safety evaluations 중 WebAssembly 취약점 CVE-2026-8390을 식별해 Mozilla가 Pwn2Own Berlin보다 이틀 먼저 패치했다고 설명했다.

한국 독자에게 중요한 지점은 여기서 분명하다. Patch the Planet은 일반 사용자용 공개 보안 도구가 아니라, 오픈소스 유지관리자와 협업하는 지원 프로그램이다. 따라서 국내 프로젝트가 바로 같은 혜택을 받는다고 단정할 수는 없고, 한국 또는 특정 국가 제공 여부도 공개되지 않았다. 다만 AI가 찾은 취약점을 인간 검토, 패치, 테스트, 공개 조정으로 묶는 방식은 국내 오픈소스 유지관리자와 보안팀이 실제 운영에 참고할 만한 구조다. OpenAI는 패치와 coordinated disclosure가 끝나면 더 깊은 기술 보고서를 공개할 계획이라고 밝혔다.

참고 출처

공식 1 · 보조 0
공식 출처 확인됨공식 발표·문서·changelog 기반으로 작성했습니다.
#OpenAI#Security#Open Source#Product Release#Trail of Bits

함께 보면 좋은 글

OpenAI, 삼성전자에 ChatGPT Enterprise·Codex 배포 발표 커버 이미지
AI 속보

OpenAI, 삼성전자에 ChatGPT Enterprise·Codex 배포 발표

OpenAI가 2026년 6월 21일 삼성전자에 ChatGPT Enterprise와 Codex를 배포한다고 발표했다. 대상은 한국의 모든 삼성전자 직원과 전 세계 DX 부문 직원이며, 핵심은 문서·분석 업무와 코드·자동화 업무를 기업 보안 통제 안에서 함께 쓰는 전사형 적용이다.

OpenAI·국내 대기업 IT·디지털 전환 의사결정자공식 출처 확인됨
OpenAI, ChatGPT Enterprise에 사용량 분석·지출 통제 추가…ChatGPT·Codex 비용 한 화면에서 관리 커버 이미지
AI 속보

OpenAI, ChatGPT Enterprise에 사용량 분석·지출 통제 추가…ChatGPT·Codex 비용 한 화면에서 관리

OpenAI가 6월 18일 ChatGPT Enterprise에 새 사용량 분석과 지출 통제 기능을 추가했다. 관리자는 ChatGPT와 Codex의 크레딧 사용량을 통합해 보고, 사용자·제품·모델 단위로 세분화해 추적하며, 워크스페이스·그룹·개인 단위 한도를 설정할 수 있다.

OpenAI·ChatGPT Enterprise 운영팀공식 출처 확인됨
OpenAI, GPT‑5.4로 AI 화학자 공개… 10,080회 실험으로 난반응 수율 높인 방법 커버 이미지
AI 속보

OpenAI, GPT‑5.4로 AI 화학자 공개… 10,080회 실험으로 난반응 수율 높인 방법

OpenAI가 GPT‑5.4를 Molecule.one의 Maria AI와 고처리량 실험실에 연결해 의약화학 난제인 Chan–Lam coupling 개선 결과를 공개했다. 이번 사례의 핵심은 완전 자율이 아니라, AI가 가설 생성·실험 설계·데이터 분석·후속 제안을 맡고 사람이 선택·수정·검증을 담당한 near-autonomous 워크플로우라는 점이다.

OpenAI·국내 제약·바이오 R&D 연구자공식 출처 확인됨