Linux基金会近日宣布启动Akrites项目,旨在保护全球关键开源软件免受AI驱动网络的威胁。该项目由20多家创始机构支持,包括云服务商、AI公司、金融机构等,共同构建了一个协调框架,用于在攻击者利用漏洞之前识别、修复并负责任地披露安全漏洞。Akrites的建立是为了解决开源维护者面临的挑战,即在AI辅助的攻击面前,如何有效管理来自多个组织的同步漏洞报告。该倡议不仅关注修补漏洞,更强调在漏洞公开前进行协同修复和快速补丁部署,以减少重复工作并加速关键项目的更新。
--91likeyou---
发起这项倡议的根源在于行业愈发担忧生成式 AI 的发展已从根本上打破了攻防双方的平衡。如今借助 AI 模型仅需数分钟就能找出通用软件中的漏洞,而非以往的数周,这大幅压缩了从漏洞暴露到被利用的窗口期。在某些情况下,安全补丁一经公开,黑客几乎能立刻生成漏洞并利用代码,给开源维护者与基础设施运营者留下的处置响应时间越来越短。
开源软件支撑着现代经济的几乎所有领域,从银行、医疗到电信、交通、能源网络、政府以及 AI 基础设施本身。尽管开源生态系统历来依赖志愿者维护者和去中心化的漏洞披露机制,但 Akrites 项目意识到,面对 AI 驱动下极速演变的网络攻击,如今软件防护工作需要项目维护者、基础设施运维方、安全研究人员以及依赖开源项目的各类企业机构协同开展工作。
Akrites 项目并非要再打造另一个安全扫描工具,而是专注于改进关键漏洞被发现后的处理方式。该倡议建立了一个共享的事件响应能力,使参与组织能够私下验证漏洞、与上游维护者协调补丁,并在细节公开之前同步进行负责任的披露。
这种协调方式旨在解决开源维护者当今面临的一大核心难题:在应对日益强大的 AI 辅助攻击者的同时,管理来自多个组织的同步漏洞报告。Akrites 提供通用工具、共享工作流程和保密优先的流程,旨在减少重复工作,同时加速关键项目的补丁可用性。
Akrites 并不会取代现有倡议,而是对开源生态中已开展的各类相关工作形成补充。该倡议建立在开源安全基金会(OpenSSF)和 Linux 基金会的 Alpha-Omega 项目的工作基础之上,这两个组织已在软件供应链安全、维护者支持、漏洞管理和安全开发实践方面投入了大量资源。
OpenSSF 专注于制定安全标准、最佳实践和工具,而 Akrites 则引入了一个专注于在公开披露之前协调修复关键漏洞的运营响应层。工作重心从单纯发现漏洞转向确保在攻击者有机会将其武器化之前完成修复和部署。
该倡议的启动反映出网络安全行业正在发生一场大范围转变。前沿 AI 模型的最新进展已展现出在漏洞发现、代码分析、漏洞利用生成和自动推理方面日益复杂的能力。虽然这些能力为防御方提供了守护软件安全的新式利器,但同时也大幅降低了攻击者的技术门槛,使其能够以前所未有的规模自动化开展漏洞研究。
Akrites 的创始成员认为,现在保护关键基础设施需要采用与长期以来推动开源创新相同的协作模式。该倡议不再让各组织独立发现和报告漏洞,而是促进协调工程资源、共享资金和联合修复工作,力争在漏洞公开、可被恶意利用之前守住软件生态安全。
该倡议也凸显了网络安全领域理念的转变。以往,负责任披露机制的核心是通知厂商与开源维护人员。然而,在 AI 时代,各组织逐渐认为协同修复、保密协作与快速补丁部署具备同等重要的地位。随着 AI 大幅压缩了从漏洞发现到漏洞被利用的时间窗口,快速协调整个生态系统的能力可能成为该行业最有效的防御手段之一。
Akrites 绝不只是又一项安全倡议,它反映了对开源安全所依赖的假设正在发生变化的认知。曾经推动开源软件成为现代计算基础设施的协作模式如今必须进化才能防御装备着日益强大 AI 系统的对手。
通过整合共享事件响应机制、协同漏洞披露流程与集体工程技术力量,Linux 基金会及其合作方押注:多方协同防护体系的响应速度能够跟上 AI 技术的迭代节奏。这套方案能否行之有效,不仅将决定开源安全行业的未来,更会影响高度依赖开源软件的数字基础设施整体抗风险能力。
查看英文原文:
🔥 热词:#linux基金会是哪个国家 · #linux基金会什么时候成立 · #哪一年底,由linux基金会成立? · #linux基金会受美国控制吗 · #linux基金会总部在哪 · #linux foundation apac · #linux基金会贡献者排名 · #linux基金会开源软件大学