为应对人工智能(AI)加速发现开源软件漏洞所带来的安全风险,亚马逊、微软、谷歌、IBM 等多家科技和金融巨头联合发起了名为 Akrites 的协调行动。该计划旨在通过统一、保密的协调机制,在上游与维护者合作修复漏洞,从而保护全球关键基础设施所依赖的开源生态系统。此举改变了以往各自为战、效率低下的漏洞响应模式,强调以协同方式优先修复并推动补丁部署,必要时还将充当无人维护项目的“最后维护者”。
人工智能改变了安全格局
开源软件是现代技术世界的基石,支撑着从银行、电信到公共事业等各项关键基础设施。然而,我们赖以生存的这个技术基础正面临前所未有的挑战。
人工智能已经打破了攻击者与防御者之间原有的平衡……过去,寻找一个主要开源项目中的严重漏洞需要专家数周时间。现在,机器只需要几分钟。
这种变化意味着,AI 在帮助我们加固软件的同时,也可能成为恶意行为者手中发现漏洞的强大工具。漏洞发现的速度已经远远超出了维护者修复补丁的能力。这并非未来的理论风险,而是 我们当下必须面对的现实。
Akrites:联合防御计划
为了应对这一挑战,业界发起了 Akrites 行动,这是有史以来最大规模的协调努力,旨在利用集体的力量保护所有人。
参与者包括亚马逊、Anthropic、Chainguard、思科、花旗、谷歌、IBM、摩根大通、微软、英伟达、OpenAI、红帽、Rust 基金会等众多企业和基金会。
当全球大部分技术都构建在相同的开源组件上时,它们也共享着相同的潜在缺陷。没有任何一家公司的围墙高到可以将此视为别人的问题。过去那种各自为战、分散响应的方式只会加剧混乱,浪费宝贵的时间。
行动原则与承诺
Akrites 承诺采取一种全新的、在上游采取行动 的方式,与维护者共同应对新的安全现实。其核心原则包括:
- 保密协调: 提供一个可信的保密平台来协调漏洞的发现、修复和披露,防止信息在修复前泄露。
- 统一响应: 为维护者提供一个单一、可预测的合作伙伴,而不是让他们被来自四面八方的重复报告所淹没。
- 上游修复: 与项目维护者直接合作,从源头修复漏洞,确保修复方案能惠及所有使用者。
- 关注部署: 成功的衡量标准不是发布补丁,而是 补丁的实际部署率。因为补丁发布后,攻击者也能利用 AI 快速分析漏洞并发起攻击。
- 担当最后维护者: 当某个关键的开源项目无人维护时,Akrites 将介入,确保关键修复能够及时触达每个人。
参与 Akrites 的组织将贡献工程资源、安全专业知识和资金,共同加固我们所共享的软件基础。
行业领袖的支持
亚马逊云科技(AWS): “前沿 AI 模型赋予了防御者以前所未有的速度和规模发现并修复开源软件漏洞的能力。Akrites 确保我们能共同抓住这个机会。维护者应该得到协调一致的合作,而不是报告的洪流。” — Matt Wilson, 亚马逊云科技副总裁兼杰出工程师
谷歌: “随着 AI 加速漏洞发现的规模和速度,保卫开源生态系统需要同样迅速、协调的响应。通过加入 Akrites,我们将把谷歌对开源安全的长期承诺与全行业的专业知识相结合,确保漏洞在被利用前得到发现、修复和负责任的披露。” — Heather Adkins, 谷歌安全工程副总裁
微软与 GitHub: “Akrites 是为了应对 AI 驱动的漏洞发现与防御这一新兴转折点而创建的。作为创始成员,微软将贡献专业知识、资源和 AI 技术,帮助负责任地识别和修复客户与组织所依赖的整个开源软件生态系统中的漏洞。” — Mark Russinovich, Azure 首席技术官、副首席信息安全官兼技术院士
摩根大通: “AI 已将从漏洞发现到利用的时间压缩到接近实时,这意味着我们必须压缩从修复到部署的时间。我们支持一种能够帮助关键基础设施下游运营商的机制,以便修复能在对手将披露信息转化为攻击之前到达真实系统。” — Pat Opet, 首席信息安全官
IBM: “开源软件驱动着我们每天依赖的系统……随着前沿 AI 加速漏洞发现,风险已经变得太大,任何一个组织都无法单独应对。这就是为什么生态系统方法至关重要。” — Jamie Thomas, IBM 企业安全执行官