Anthropic, AWS, IBM и Microsoft создали альянс Akrites для поиска уязвимостей в open-source — ИИ для бизнеса

Anthropic, AWS, IBM и Microsoft создали альянс Akrites для поиска уязвимостей в open-source

Прослушать статью

Коалиция технологических компаний, включая Anthropic, AWS, IBM и Microsoft, объявила о совместной инициативе по поиску, раскрытию и устранению уязвимостей в open-source программном обеспечении.

Группа под названием Akrites создаст общую команду реагирования на инциденты безопасности, а также согласованный процесс раскрытия уязвимостей.

Компании-учредители, во главе с Linux Foundation, направят на эту работу значительные ресурсы, включая финансирование, инженеров и экспертизу в области кибербезопасности.

По словам представителей, план был в первую очередь вызван появлением frontier AI models, которые радикально ускорили поиск уязвимостей в критически важном ПО. В последние месяцы злоумышленники уже демонстрировали способность применять AI для сложных атак.

Существующая экосистема open-source не успевает достаточно быстро находить и устранять уязвимости, чтобы защитить миллионы пользователей от потенциальных атак. Свои опасения группа изложила в открытом письме индустрии.

«Искусственный интеллект разрушил прежний баланс между атакующими и защитниками, изменив соотношение простоты и повторного использования программного обеспечения», — написала коалиция в письме.

Задержка с раскрытием уязвимостей

По словам Кристофера Робинсона, CTO Open Source Security Foundation и главного архитектора безопасности Linux Foundation, Akrites призван решить часть системных проблем, с которыми сталкивается сообщество open-source при выстраивании скоординированного процесса раскрытия уязвимостей.

Появление large language models и продвинутых инструментов сканирования в последние годы сделало все эти исторические проблемы еще серьезнее.

«В upstream-проекты поступает поток отчетов об уязвимостях разного качества, который намного превышает способность этих волонтерских разработчиков оценивать их и успевать за ними», — сказал Робинсон Cybersecurity Dive.

Первичное финансирование Akrites предоставит Alpha Omega — направленный фонд при Linux Foundation. Другие организации просят предоставить дополнительные ресурсы или инженерные кадры.

Сообщество open-source в последние годы все сильнее обеспокоено тем, что традиционные мейнтейнеры не могут быстро находить и раскрывать уязвимости, чтобы предотвратить массовые supply chain attacks.

Варун Бадхвар, сооснователь и CEO Endor Labs, заявил, что более 23 000 уязвимостей были обнаружены всего через месяц после объявления Project Glasswing, затронув около 1 000 проектов open-source. В их числе около 6 000 уязвимостей, которые считались высокоопасными или критическими.

Кроме того, партнеры Glasswing нашли еще 10 000 высокоопасных или критических уязвимостей. Исправлено лишь 5% этих уязвимостей.

«Ни одна волонтерская экосистема не была создана, чтобы это переварить», — сказал Бадхвар Cybersecurity Dive.

Среди других компаний-учредителей Akrites — Cisco, Citi, JPMorgan Chase, NVIDIA, OpenAI, Ericsson и другие.


Материал — перевод статьи с английского.

Оригинал: Software, AI companies form alliance to tackle open-source security flaws