Linux Foundation анонсировала Akrites — скоординированную отраслевую инициативу по защите критически важного открытого ПО от ИИ-угроз. В альянс вошли более 20 компаний: Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler.
Почему это случилось именно сейчас
Раньше, чтобы найти серьёзную уязвимость, нужно было обладать глубокой экспертизой. Теперь фронтирные ИИ-модели сканируют крупный опенсорс-проект и находят дыры за минуты.
На конференции Open Source Week глава Linux Foundation Джим Землин выдал убийственную цифру:
«Среднее время между обнаружением уязвимости и её эксплуатацией теперь составляет минус семь дней».
Вдумайтесь: к тому моменту, как вы узнаёте о дыре в своём коде, хакеры уже неделю её используют.
Как работает Akrites
Центр проекта — единая команда реагирования на инциденты (SIRT). Она берёт на себя:
-
Фильтрацию баг-репортов — вместо сотен дублирующих сообщений мейнтейнеры получают один выверенный сигнал.
-
Координацию патчей — фиксы возвращаются в репозитории на условиях разработчиков, а не через частные форки.
-
Единую точку контакта — у мейнтейнеров больше не будет паники от разнонаправленных запросов от разных вендоров.
Оценка уязвимостей и обмен данными опираются на стандарты CVE, CVSS и протокол TLP. Отчёты получают максимальный уровень секретности до релиза исправления.
А если проект заброшен?
Тут самое интересное. Если критически важный пакет остался без мейнтейнера, Akrites выпускает обновление самостоятельно.
«Когда патчи публикуются, злоумышленники используют ИИ, чтобы мгновенно обратным инжинирингом понять уязвимость и разработать эксплойты. Поэтому наш успех будет измеряться не публикацией патча, а его развёртыванием» — говорится в совместном открытом письме инициативы.
Майк Долан, старший вице-президент Linux Foundation: «Что здесь действительно отличается — это один скоординированный процесс. Один партнёр для мейнтейнеров опенсорса, а не поток хаотичных отчётов».
Akrites — это признание того, что старая модель координации уязвимостей больше не работает. ИИ ускорил атакующих. Теперь защитники должны двигаться заодно и с той же скоростью.
Ирония в том, что крупнейшие ИИ-компании — OpenAI, Anthropic, NVIDIA, Google — объединились с теми, чей код они же и анализируют. Потому что поняли: если опенсорс рухнет, рухнет всё.
Источник: habr.com