Около двадцати технологических компаний, ИИ-лабораторий и банков объединяются в рамках инициативы Akrites, чтобы исправлять уязвимости в критически важном open-source ПО до того, как ИИ-инструменты смогут их использовать.
Linux Foundation объявила о запуске Akrites — скоординированной отраслевой инициативы по исправлению уязвимостей в широко используемом open-source ПО совместно с мейнтейнерами, прежде чем атакующие успеют их применить. Среди участников-основателей: Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone и Zscaler.
Причина — изменение баланса сил: раньше поиск и исправление серьёзных багов в open-source коде требовали сопоставимой экспертизы с обеих сторон. Современные ИИ-модели могут просканировать крупный проект за минуты вместо недель, обнаруживая уязвимости гораздо быстрее. Как только такие возможности станут широко доступны, даже атакующие без глубоких технических навыков получат инструменты для сложных эксплойтов.
Linux Foundation описывает текущую модель реагирования на угрозы как лоскутную. Многие организации независимо сканируют одни и те же пакеты, многократно сообщают об одних и тех же находках, а иногда предлагают противоречивые патчи. Мейнтейнеры тонут в дубликатах, а реальные эксплуатируемые баги теряются в ИИ-генерируемом шуме. Генеральный директор Endor Labs Варун Бадхвар обозначил срочность в жёстких выражениях: из тысяч подтверждённых уязвимостей open-source за последние месяцы запатчено меньше пяти процентов.
Из тысяч подтверждённых уязвимостей open-source за последние месяцы запатчено меньше пяти процентов.
Единая команда реагирования вместо сотни отдельных отчётов
В основе Akrites — общая группа реагирования на инциденты безопасности (SIRT). Она выступает единой надёжной точкой контакта для мейнтейнеров open-source-проектов, вместо того чтобы десятки организаций независимо отмечали одни и те же уязвимости. Команда проверяет поступающие отчёты, отсеивает дубликаты, а затем координирует исправления.
Akrites использует стандартизированный процесс конфиденциального раскрытия уязвимостей, известный в индустрии как Coordinated Vulnerability Disclosure. Он опирается на устоявшиеся стандарты: систему идентификаторов CVE, систему оценки серьёзности CVSS и светофорный протокол TLP, который определяет, кто и что может видеть. Конфиденциальность — ключевой момент: каждый отчёт изначально получает уровень TLP:RED, наивысший уровень классификации, и доступ к нему есть только у назначенной команды. Таким образом, детали уязвимости не просачиваются до готовности патча.
Мейнтейнеры сохраняют контроль, даже когда их нет
Готовые исправления возвращаются в оригинальный проект на условиях мейнтейнера, оставляя разработчикам контроль. Когда критически важный пакет больше не имеет активного мейнтейнера — распространённая проблема для проектов на добровольцах — Akrites планирует выступать в роли «мейнтейнера последней надежды» и выпускать исправление самостоятельно, чтобы патч дошёл до всех пользователей вовремя. Инициатива также намерена координироваться с государственными органами, чтобы частные и государственные защитники действовали синхронно.
Начальное финансирование поступает от Alpha-Omega, целевого фонда под эгидой Linux Foundation. Другие организации, желающие предоставить инженерные ресурсы или финансирование, приглашаются к участию.