The Linux Foundation 已推出 Akrites,这是一项新的行业范围倡议,旨在保护世界上最关键的开源软件免受快速演进的 AI 赋能网络威胁的侵害。该倡议得到超过 20 家创始组织的支持——包括主要云服务提供商、AI 公司、金融机构、网络安全供应商和开源基金会——Akrites 建立了一个协调框架,用于在攻击者利用漏洞之前识别、修复和负责任地披露漏洞。

创始成员包括 Amazon Web ServicesAnthropicGoogleMicrosoftOpenAINVIDIAIBMRed HatCiscoChainguardSonatype 以及几家全球金融机构。他们共同致力于通过共享的安全事件响应团队 (SIRT) 和标准化的 协调漏洞披露 (CVD) 流程,在关键开源项目中协调漏洞修复。

该倡议源于日益增长的担忧:生成式 AI 的进步已从根本上改变了攻击者与防御者之间的平衡。AI 模型现在可以在几分钟内(而非数周)发现广泛使用软件中的漏洞,大幅缩短发现与利用之间的时间窗口。在某些情况下,漏洞利用代码几乎可以在安全补丁公开后立即生成,这使得维护者和基础设施运营者可用于响应的时间越来越少。

开源软件支撑着现代经济的几乎所有领域,从银行和医疗保健到电信、交通运输、能源电网、政府以及 AI 基础设施本身。虽然开源生态系统历来依赖志愿者维护者和去中心化的披露实践,但 Akrites 承认,以 AI 的速度防御软件现在需要维护者、基础设施运营者、安全研究人员以及依赖这些项目的组织之间采取协调行动。

Akrites 并非创建另一个安全扫描工具,而是专注于改进发现关键漏洞后的处理方式。该倡议建立了一个共享的事件响应能力,允许参与组织私下验证漏洞、与上游维护者协调补丁,并在详细信息公开之前同步负责任的披露。

这种协调方法旨在解决当今开源维护者面临的最大挑战之一:在与日益强大的 AI 辅助攻击者竞速的同时,管理来自多个组织的同步漏洞报告。通过提供通用工具、共享工作流和保密优先的流程,Akrites 旨在减少重复工作,同时加快关键项目的补丁可用性。

Akrites 不会取代现有倡议,而是对开源生态系统内已开展的更广泛工作进行补充。该倡议建立在 Open Source Security FoundationLinux Foundation 的 Alpha-Omega 计划的基础上,这两者都在改进软件供应链安全、维护者支持、漏洞管理以及安全开发实践方面投入了大量资源。

OpenSSF 侧重于制定安全标准、最佳实践和工具,而 Akrites 则引入了一个运营响应层,专门负责在公开披露之前协调关键漏洞的修复。重点从单纯发现漏洞转向确保漏洞能够在攻击者有机会将其武器化之前得到修复和部署。

此次发布反映了网络安全行业正在发生的更广泛转变。最近前沿 AI 模型的进步已展示出在漏洞发现、代码分析、漏洞利用生成和自动化推理方面日益复杂的能力。虽然这些能力为防御者提供了保护软件的强大新工具,但它们也降低了攻击者以空前规模自动化漏洞研究的能力门槛。

Akrites 的创始成员认为,保护关键基础设施现在需要采用与历史上推动开源创新的相同协作模式。该倡议倡导协调的工程资源、共享资金和联合修复工作,以在漏洞变得公开可利用之前保护软件生态系统,而不是让各组织独立发现和报告漏洞。

该倡议还凸显了网络安全理念的转变。历史上,负责任的披露主要侧重于通知供应商和维护者。然而在 AI 时代,组织日益认为协调修复、保密协作和快速补丁部署同样重要。随着 AI 将漏洞发现到利用的时间线压缩,能够在整个生态系统中快速协调的能力可能成为行业最有效的防御手段之一。

Akrites 代表的不仅仅是一项安全倡议;它反映了对支撑开源安全的假设正在发生变化的承认。使开源软件成为现代计算基础的协作模式现在必须进化,以抵御配备日益强大 AI 系统的对手。

通过结合共享事件响应、协调漏洞披露和集体工程专业知识,Linux 基金会及其合作伙伴正在押注协作能够像 AI 本身一样快速扩展。这种方法是否足够有效,可能不仅会影响开源安全的未来,也会影响日益依赖它的数字基础设施的韧性。

关于作者

Craig Risi