Linux Foundation משיקה את Akrites כדי להילחם באיומי קוד פתוח מונעי בינה מלאכותית
ההתקדמות המהירה של הבינה המלאכותית שינתה באופן יסודי את נוף אבטחת הסייבר, והעניקה לתוקפים את היכולת לסרוק ולנצל פגיעויות בקוד במהירויות חסרות תקדים. כדי להתמודד עם איום גובר זה, ה-Linux Foundation השיקה את Akrites, יוזמה שיתופית רחבת היקף שנועדה לתקן (patch) פגמים קריטיים בקוד פתוח לפני שניתן יהיה להפוך אותם לנשק באמצעות exploits מבוססי בינה מלאכותית.
חזית מאוחדת נגד exploits מואצים על ידי בינה מלאכותית
המניע מאחורי Akrites הוא תגובה ישירה לשינוי ב"מאזן הכוחות" של אבטחת הסייבר. מבחינה היסטורית, איתור ותיקון באגים דרשו מומחיות אנושית משמעותית הן בצד ההגנתי והן בצד התקפי. עם זאת, מודלי LLM ובינה מלאכותית מודרניים יכולים כעת לסרוק מאגרי קוד עצומים תוך דקות במקום שבועות, מה שמוריד את חסם הכניסה להתקפות מתוחכמות.
כדי לטפל בכך, קואליציה של 20 ענקיות טכנולוגיה, מעבדות AI ומוסדות פיננסיים הקימה את הברית. החברים המייסדים כוללים מובילי תעשייה כגון Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM, ו-Cisco, לצד ענקיות פיננסיות כמו JPMorganChase ו-Citi. ריכוז משאבים זה נועד לגשר על הפער בין המהירות של גילוי מונע AI לבין האיטיות הנוכחית של תיקון ידני (patching).
פתרון בעיית התגובה ה"טלאית" (Patchwork)
פרקטיקות אבטחה נוכחיות הן לעיתים קרובות מפוצלות ובלתי יעילות. ארגונים רבים מבצעים סריקות עצמאיות על אותם חבילות (packages), מה שמוביל לדיווחים כפולים ולתיקונים סותרים. מודל ה-"patchwork" הזה קובר את מנהלי (maintainers) הקוד הפתוח תחת הר של ממצאים כפולים, מה שלעיתים קרובות גורם לבאגים אמיתיים וניתנים לניצול ללכת לאיבוד בתוך הרעש.
הדחיפות מודגשת על ידי נתונים מ-Endor Labs, החושפים כי מתוך אלפי פגיעויות קוד פתוח מאומתות שזוהו בחודשים האחרונים, פחות מחמישה אחוזים אכן תוקנו. Akrites שואפת לפתור זאת באמצעות צוות תגובה לאירועי אבטחה (SIRT) משותף. צוות זה משמש כנקודת קשר מרכזית, בוחן דיווחים, מסנן כפילויות ומתאם תיקונים חלקים ישירות מול מנהלי הפרויקטים.
חשיפה סטנדרטית ו-"Maintainer of Last Resort"
Akrites פועלת תחת פרוטוקולים מחמירים של Coordinated Vulnerability Disclosure (חשיפת פגיעויות מתואמת). כדי למנוע דליפות שעלולות להתריע למתקפים, היוזמה משתמשת ב-Traffic Light Protocol (TLP), שבו כל הדיווחים הראשוניים מתחילים ב-TLP:RED — רמת הסודיות הגבוהה ביותר. המסגרת משלבת גם תקנים מוכרים בתעשייה כמו מזהי CVE ו-דירוג חומרת CVSS כדי להבטיח עקביות טכנית.
אחד החידושים המשמעותיים ביותר של Akrites הוא הגישה שלה לפרויקטים נטושים או כאלו עם משאבים מוגבלים. באקוסיסטם של הקוד הפתוח, חבילות קריטיות רבות מנוהלות על ידי מתנדבים שעשויים להיות חסרי פנאי (bandwidth) לטפל באיומי אבטחה דחופים. Akrites מתכננת לפעול כ-"maintainer of last resort" (מנהל המקסימום), תוך התערבות כדי לספק תיקונים (patches) לחבילות קריטיות שכבר אין להן מנהלים פעילים, ובכך להבטיח ששרשרת אספקת התוכנה העולמית תישאר מאובטחת.
נקודות מרכזיות
- דחיפות מונעת AI: Akrites תוכננה כדי להתמודד עם מודלי AI שיכולים לזהות ולנצל פגיעויות תוכנה במהירות גבוהה משמעותית ממפתחים אנושיים.
- מודיעין מרכזי: באמצעות שימוש ב-SIRT יחיד, היוזמה מבטלת דיווחים כפולים ומפחיתה את הנטל המנהלי על מנהלי קוד פתוח.
- הגנה על שרשרת האספקה: התוכנית מציגה מודל של "maintainer of last resort" כדי להבטיח שחבילות קריטיות שאינן מתוחזקות יתוקנו לפני שניתן יהיה לנצל אותן.
