OpenAI hat mit „Patch the Planet“ eine neue Initiative innerhalb des Daybreak-Programms gestartet, um die Sicherheit kritischer Open-Source-Projekte zu stärken. KI-gestützte Sicherheitsanalysen sollen dabei mit menschlicher Expertise kombiniert werden, um Schwachstellen schneller zu erkennen, zu prüfen und zu beheben.

Ein Zusammenschluss, um Software sicherer zu machen

Ziel des neuen Projekts sei es laut einer Mitteilung von OpenAI, überlastete Maintainer zu entlasten und die Sicherheit der Software-Infrastruktur langfristig zu verbessern. Dabei soll der gesamte Verteidigungszyklus abgedeckt werden, angefangen bei der Entdeckung einer Schwachstelle über deren Validierung und Offenlegung bis hin zur Entwicklung und Bereitstellung von Patches.

Um dies zu erreichen, sollen die Sicherheitsforscher von Trail of Bits, die weltweit führende Plattform für ethisches Hacking und Cyber-Sicherheit HackerOne sowie die Sicherheitsspezialisten von Calif direkt mit den Betreuern von Open-Source-Projekten zusammenarbeiten. Trail of Bits soll dabei die Rolle eines technischen Ersthelfers übernehmen und bei der Priorisierung sowie Analyse potenzieller Sicherheitsprobleme unterstützen.

Mithilfe von OpenAIs Sicherheitswerkzeugen sollen so mögliche Fehler und Schwachstellen identifiziert, bewertet und behoben werden. Statt Maintainer wie üblich mit einer Vielzahl von Meldungen zu überfluten, werden die Ergebnisse im Vorfeld von Experten geprüft. Darüber hinaus sollen Prozesse geschaffen werden, die langfristig zu einer höheren Sicherheit beitragen. Zu den ersten beteiligten Projekten zählen unter anderem cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, das Go-Projekt, freenginx, Python und python.org.

Projekt setzt nicht nur auf Automation

Im Raum steht allerdings die Frage, wie sich das Projekt langfristig skalieren lässt und wie viele Projekte gleichzeitig betreut werden können. Nach Angaben von OpenAI arbeitet Trail of Bits inzwischen mit GPT-5.5-Cyber und Codex an insgesamt 19 Open-Source-Projekten, um Bedrohungsmodelle, Angriffstaxonomien sowie invariante und eigenschaftsbasierte Tests zu entwickeln, die auf Projektspezifikationen und RFCs basieren. Auf diesem Weg sollen bereits mehrere hundert Sicherheitsprobleme entdeckt worden sein.

Darüber hinaus entstanden binnen kürzester Zeit wiederverwendbare Werkzeuge wie Fuzzing-Umgebungen, Testsysteme, Bedrohungsmodelle und Pipelines zur Analyse bekannter Sicherheitslücken. Ein vollständiger Fuzzing-Laboraufbau, der üblicherweise mehrere Wochen Entwicklungszeit beanspruchen würde, sei laut OpenAI mithilfe der KI innerhalb eines Tages entstanden. Trail of Bits arbeitet zudem daran, die Tests weiter auszubauen und zu verfeinern.

Eine weitere Entwicklung des Projekts ist ein automatisierter Prozess zur Suche nach Varianten bereits bekannter Schwachstellen. Dafür werden bekannte CVE-Daten analysiert, Muster extrahiert und ähnliche Fehler in aktuellen Code-Basen aufgespürt. Mehrere KI-Agenten filtern anschließend Fehlalarme und Duplikate heraus, bevor die Ergebnisse von Sicherheitsexperten überprüft werden. Jede gemeldete Schwachstelle wird zudem vor der Weitergabe an die Entwickler manuell überprüft, um Fehlalarme zu reduzieren.

Die Teilnehmer des Projekts erhalten von OpenAI zudem Zugang zu ChatGPT Pro, entsprechendes API-Guthaben sowie einen eingeschränkten Zugriff auf Codex Security.

Bereits erste Erfolge vorzuweisen

Erste Ergebnisse zahlreicher Untersuchungen hat OpenAI ebenfalls veröffentlicht. So sollen allein im Linux-Kernel mehr als 30 Millionen Zeilen Code untersucht worden sein, wobei GPT-5.5-Cyber dabei zahlreiche sicherheitsrelevante Probleme erkannt und unter anderem acht Proof-of-Concepts für Speicherlecks sowie 24 lokale Privilegien-Eskalationen erzeugt haben soll. Im OpenBSD-Kernel wurde zudem ein 23 Jahre alter Use-after-Free-Fehler entdeckt, der Root-Rechte ermöglichen könnte. Für FreeBSD wurden insgesamt 34 Schwachstellen bestätigt und sieben lokale Privilegien-Eskalationen demonstriert.

Auch im Browser-Bereich war Daybreak erfolgreich: Innerhalb einer Woche wurden allein fünf ausnutzbare Schwachstellen in Googles V8-JavaScript-Engine sowie mehr als zehn Sicherheitsprobleme in Apples WebKit gefunden. Darüber hinaus entdeckte das Preparedness-Team eine WebAssembly-Schwachstelle in Firefox, die Mozilla noch vor dem Wettbewerb Pwn2Own Berlin schließen konnte. In der Folge zogen fünf von sechs angemeldeten Firefox-Teilnehmern ihre Angriffe zurück.

Nicht alle gefundenen Schwachstellen werden offengelegt

OpenAI macht allerdings deutlich, dass die Ergebnisse bewusst nur teilweise veröffentlicht werden. Details zu Exploit-Techniken und einzelnen Projekten sollen erst nach abgeschlossenen Offenlegungsprozessen bekanntgegeben werden. Damit verfolgt OpenAI einen ähnlichen Ansatz wie Google, die detaillierte Informationen zu Sicherheitslücken ebenfalls erst später veröffentlichen, um Anwendern ausreichend Zeit für Updates einzuräumen und potenziellen Angreifern keine zusätzlichen Informationen zu liefern. OpenAI kündigte zudem weitere technische Berichte an und will zusätzliche Open-Source-Projekte in das Programm aufnehmen. Maintainer können sich aktiv für eine Teilnahme bewerben.

Ein neues Fan-Projekt macht Quake 1 erneut über einen Webbrowser spielbar. Dabei ist lediglich eine Maus und eine Tastatur notwendig, um den Singleplayer- und QuakeWorld-Online-Multiplayer-Modus des Retro-Klassikers zu spielen.

Quake erschien im Jahr 1996 und war einer der ersten First-Person-Shooter, der vollständig auf einer 3D-Umgebung mit Polygonen basierte. Rund 30 Jahre später kann das genreprägende Retro-Spiel im Rahmen eines neuen Fan-Projektes im Webbrowser der eigenen Wahl gespielt werden. Damit bekommen Spieler neben NetQuake und Co. eine weitere Option, Quake 1 über das Internet im Browser zu spielen.

So wird Quake 1 im Browser gespielt

Die Online-Version von Quake 1k kann über eine auf Pieter.com gehostete Website gespielt werden. Es handelt sich dabei um ein inoffizielles und nicht-kommerzielles Fan-Projekt, das nicht mit id Software zusammenhängt. Ferner wird für die Webbrowser-Ausgabe von Quake 1 hierbei FTE QuakeWorld genutzt, eine Open-Source-Engine mit Unterstützung für verschiedene idTech-Spiele. Den Quellcode von Quake 1 hat id Software zudem bereits im Jahr 1999 veröffentlicht.

Im Rahmen der Browser-Variante von Quake 1 kann der Singleplayer ausprobiert werden, wobei hier aus Lizenzgründen nur die Shareware-Version zur Verfügung steht. Darüber hinaus ist es auch möglich, den Online-Multiplayer-Modus über QuakeWorld zu spielen, wodurch hierbei Matches mit bis zu 8 Spielern möglich sind. Wie bei einem Browser üblich erfolgt die Steuerung über Maus und Tastatur.

Die Steuerung im Detail

Die Steuerung ist dabei auch im Browser identisch mit der regulären Version von Quake 1, wie OS X Daily schreibt. Demnach wird die Maus zum Zielen genutzt, während ein Linksklick für das Schießen verwendet wird. Die Bewegung des eigenen Charakters erfolgt wie üblich mittels über WASD auf der Tastatur: Mit der W-Taste wird sich nach vorne bewegt und mit der S-Taste rückwärts. Bewegungen nach links und rechts erfolgen bekanntlich über die A- und D-Tasten.

Die Leertaste ermöglicht das Springen, um so gegnerischen Angriffen auszuweichen oder über Lücken zu gelangen. Mit der Escape-Taste öffnet sich das Hauptmenü, wo unter anderem der Single- und Multiplayer-Modus ausgewählt werden kann sowie das Options-Menü aufgerufen wird. In den Optionen können beispielsweise die Tasten neu belegt oder das Field-of-View (FOV) und die Mausgeschwindigkeit angepasst werden.

Samsung hat nach eigenen Angaben den ersten UFS-5.0-Speicher der Branche entwickelt. Die Lösung soll deutlich höhere Übertragungsraten als UFS 4.1 liefern und richtet sich laut Samsung vor allem an künftige Geräte, auf denen KI-Funktionen lokal ausgeführt werden.

Bis zu 10,8 GB/s beim Lesen

Der neue Speicher basiert auf dem aktuellen UFS-5.0-Standard der JEDEC und erreicht laut Samsung eine sequenzielle Leserate von bis zu 10,8 GB/s. Beim Schreiben nennt der Hersteller bis zu 9,5 GB/s. Damit soll der Speicher mehr als doppelt so schnell arbeiten wie Lösungen nach UFS 4.1.

Samsung positioniert UFS 5.0 vor allem mit Blick auf lokale KI-Anwendungen. Große Sprachmodelle und andere generative KI-Funktionen werden zukünftig vermehrt direkt auf Endgeräten ausgeführt, statt ausschließlich in der Cloud. Dadurch steigen auch die Anforderungen an Speicherbandbreite und Reaktionszeiten.

Geringere Abmessung, höhere Effizienz

Neben der Geschwindigkeit nennt Samsung auch eine verbesserte Energieeffizienz. Der neue Speicher soll mehr als 40 Prozent effizienter arbeiten als Samsungs bisherige UFS-4.1-Lösung. Erreicht werde das unter anderem durch Techniken wie Clock Gating und unterschiedliche Spannungsbereiche.

Auch beim Platzbedarf gibt es Änderungen. Der UFS-5.0-Speicherbaustein misst 7,5 × 13 × 0,9 Millimeter und fällt damit 16,7 Prozent kleiner aus als beim Vorgänger. Das soll Herstellern mehr Spielraum beim internen Aufbau mobiler Geräte geben.

Serienproduktion ab Ende 2026

Die Massenproduktion von UFS 5.0 soll im vierten Quartal 2026 beginnen. Samsung plant Varianten mit Kapazitäten von bis zu 1 TB. Als Zielgeräte werden unter anderem Flaggschiff-Smartphones, XR-Headsets und KI-Wearables genannt. Konkrete Endgeräte mit UFS 5.0 nennt Samsung bisher aber noch nicht. Entsprechend bleibt offen, wann der neue Speicher erstmals in Smartphones oder anderen Geräten für Endkunden auftauchen wird.