Linux Foundation i 20 gigantów technologicznych uruchamia Akrites przeciwko atakom AI na kod open-source

Linux Foundation wraz z około 20 gigantami technologicznymi uruchomił inicjatywę Akrites, mającą na celu łatanie luk bezpieczeństwa w oprogramowaniu open-source, zanim narzędzia AI będą mogły je wykorzystać do ataków. Inicjatywa odpowiada na rosnące zagrożenie związane z możliwością skanowania kodu przez modele AI w ciągu minut zamiast tygodni.

Wśród członków założycieli znaleźli się Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone i Zscaler. Współpraca ma zastąpić obecny, chaotyczny system zgłaszania luk bezpieczeństwa.

Kluczowe wnioski

• Akrites tworzy centralny zespół reagowania na incydenty bezpieczeństwa (SIRT), który zastępuje dotychczasowy system niezależnych zgłoszeń od dziesiątek organizacji.
• Mniej niż 5% z tysięcy zweryfikowanych luk w oprogramowaniu open-source zostało załatanych w ostatnich miesiącach.
• Gdy krytyczny projekt nie ma aktywnego opiekuna, Akrites planuje wystąpić jako „opiekun ostatniej szansy” i samodzielnie dostarczyć poprawkę.
• Wszystkie raporty rozpoczynają się na najwyższym poziomie klasyfikacji TLP:RED dla zapewnienia poufności przed wydaniem łatki.
• Inicjatywa wykorzystuje standardy branżowe jak CVE, CVSS i protokół TLP do skoordynowanego ujawniania luk.

Przesunięcie równowagi sił

Tradycyjnie znajdowanie i naprawianie poważnych błędów w kodzie open-source wymagało porównywalnej ekspertyzy po obu stronach. Nowoczesne modele AI mogą teraz przeskanować duży projekt w ciągu minut zamiast tygodni, ujawniając luki znacznie szybciej. Gdy te możliwości staną się powszechnie dostępne, nawet atakujący bez głębokiej wiedzy technicznej otrzymają narzędzia do sofistykowanych exploitów.

Linux Foundation opisuje obecny model reagowania na zagrożenia bezpieczeństwa jako „patchwork”. Wiele organizacji skanuje te same pakiety niezależnie, zgłasza te same ustaleń wielokrotnie i czasami dostarcza konfliktowe łatki. Opiekunowie projektów są zasypywani duplikatami, podczas gdy prawdziwe, wykorzystywalne błędy gubią się w szumie generowanym przez AI.

Varun Badhwar, CEO Endor Labs, podkreślił pilność problemu: z tysięcy zweryfikowanych luk w oprogramowaniu open-source z ostatnich miesięcy mniej niż pięć procent zostało załatanych.

Jeden zespół zamiast setki raportów

Sercem Akrites jest wspólny zespół reagowania na incydenty bezpieczeństwa (SIRT). Działa on jako jeden, wiarygodny punkt kontaktu dla opiekunów projektów open-source zamiast dziesiątek organizacji niezależnie zgłaszających te same luki. Zespół weryfikuje przychodzące raporty, filtruje duplikaty i następnie koordynuje naprawy.

Akrites wykorzystuje standaryzowany proces poufnego ujawniania luk, znany w branży jako Coordinated Vulnerability Disclosure. Bazuje na ustalonych standardach jak system identyfikatorów CVE, framework oceny ważności CVSS i protokół TLP, który reguluje kto może zobaczyć co.

Poufność jest kluczowa: każdy raport rozpoczyna się na poziomie TLP:RED, najwyższym poziomie klasyfikacji, i tylko przydzielony zespół może mieć do niego dostęp. W ten sposób szczegóły dotyczące luki nie wyciekają przed przygotowaniem łatki.

Gotowe poprawki wracają do oryginalnego projektu na warunkach opiekuna, zachowując kontrolę deweloperów. Gdy krytyczny pakiet nie ma już aktywnego opiekuna — częsty problem w projektach prowadzonych przez wolontariuszy — Akrites planuje wystąpić jako „opiekun ostatniej szansy” i samodzielnie dostarczyć poprawkę, aby łatka dotarła do wszystkich użytkowników na czas.

Inicjatywa planuje także koordynację z agencjami rządowymi, aby prywatni i publiczni obrońcy działali w zgodzie. Finansowanie początkowe pochodzi z Alpha-Omega, funduszu kierowanego pod Linux Foundation.