Linux基金会近日宣布,与多家科技巨头、金融机构及安全厂商共同发起一项名为“Akrites”的新项目,旨在在AI和大型语言模型被广泛用于挖掘漏洞的时代,加强对关键开源软件的防御能力。 随着前沿AI模型能够以远超以往的速度和规模发现软件缺陷,开源基础设施面临的安全压力迅速上升,Akrites被定位为一项围绕漏洞修复与披露的行业级协调行动。
根据Linux基金会发布的信息,Akrites的核心目标是在广泛使用的关键开源项目中,建立起一套统一、标准化且以保密为优先原则的协调漏洞披露流程,并通过集中化的安全事件响应机制,对AI辅助发现的安全漏洞进行快速响应。 项目将重点面向支撑电信、金融、医疗、能源等关键基础设施的开源组件,力图在漏洞被攻击者利用之前,与上游维护者协同完成修复。
作为支撑实体,Akrites将充当共享的安全事件响应团队(Security Incident Response Team,SIRT),并为严重漏洞提供单一的协调通道,避免开源维护者面对来自不同企业和机构的多重、重复报告,提高响应效率。 在这一模式下,漏洞处理过程将保持保密,修复补丁会通过原始项目维护流程回馈上游,确保修复在正确的版本和发布节奏中落地。 对于已经缺乏活跃维护者但仍被广泛依赖的关键软件包,Akrites还将充当“最后维护者”,在必要时协调推动修复进入主流发行版本。
该项目获得了广泛的行业支持,首批参与方包括亚马逊云科技(AWS)、Anthropic、Chainguard、思科、花旗集团、Endor Labs、爱立信、Google、IBM、摩根大通、微软及其旗下的GitHub、英伟达、OpenAI、RapidFort、红帽、Rust基金会、Sonatype、沃达丰和Zscaler等机构。 这些参与方覆盖云服务提供商、AI实验室、金融机构以及软件供应链安全厂商,反映出业界对AI时代开源安全风险的共识与焦虑。
Linux基金会方面指出,过去在缺乏统一协调的情况下,多个安全团队往往会对同一开源组件的漏洞发起各自独立的报告和修复尝试,导致维护者需要重复沟通、审核和合并补丁,既拖慢了修复速度,也增加了出现分叉补丁和下游碎片化的风险。 Akrites通过集中化通道和共用工具链,将不同组织的发现整合到一个协调流程中,既减轻维护者负担,也帮助避免私有分支中“各自为战”的修补方式,强化上游统一修复。
在AI安全背景下,Akrites强调的是一种“防守方协同升级”的思路:一方面,前沿AI模型已经成为发现开源漏洞的重要工具,帮助安全团队以自动化方式审计复杂软件栈;另一方面,攻击者同样可以利用类似技术,以更大规模扫描并武器化这些缺陷。 Linux基金会认为,在这种攻防条件变化下,需要一套新的行业级机制,确保关键开源软件的修复节奏能够跟上AI驱动的漏洞发现速度,避免基础设施在短时间内暴露出大规模可利用漏洞面
目前,Akrites项目已上线官方网站并启动运作,未来将逐步扩大涵盖的关键开源组件范围,同时与更多社区和机构建立合作关系。 虽然短期内该项目对整体开源生态安全态势的具体影响仍有待观察,但Linux基金会及其合作伙伴显然希望,通过建立一个高度协调、以保密为先的漏洞处置平台,为AI时代的开源供应链提供一层新的系统性防线。
了解更多: