Linux Foundation、AI主導のオープンソースの脅威に対抗するため「Akrites」を立ち上げ
人工知能(AI)の急速な進歩は、サイバーセキュリティの状況を根本的に変化させ、攻撃者が前例のないスピードでコードの脆弱性をスキャンし、悪用することを可能にしました。この増大する脅威に対抗するため、Linux Foundationは「Akrites」を立ち上げました。これは、AIを活用したエクスプロイトによって致命的なオープンソースの欠陥が悪用される前に、それらを修正することを目的とした大規模な共同イニシアチブです。
AIによるエクスプロイトの加速に対抗する統一戦線
Akritesの動機は、サイバーセキュリティにおける「力の均衡」の変化に対する直接的な反応です。歴史的に、バグの発見と修正には、防御側と攻撃側の両方において高度な人間の専門知識が必要でした。しかし、現代のLLM(大規模言語モデル)やAIモデルは、膨大なコードベースを数週間ではなく数分でスキャンできるため、高度な攻撃への参入障壁を下げています。
これに対処するため、20社のテック大手、AI研究所、および金融機関による連合が結成されました。創設メンバーには、Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM, Ciscoといった業界のリーダーに加え、JPMorganChaseやCitiのような金融界の巨頭が含まれています。このリソースの集中により、AI主導の発見スピードと、現在の手動パッチ適用における遅滞との間のギャップを埋めることを目指しています。
「パッチワーク」的な対応問題の解決
現在のセキュリティ対策は、断片的で非効率であることが少なくありません。多くの組織が同じパッケージに対して個別にスキャンを行うため、重複したレポートや矛盾するパッチが発生しています。この「パッチワーク」モデルは、オープンソースのメンテナーを山のような重複した発見事項で埋め尽くしてしまい、その結果、実際に悪用可能な本物のバグがノイズの中に埋もれてしまうことがよくあります。
Endor Labsのデータは、その緊急性を裏付けています。同社のデータによると、ここ数ヶ月間に特定された数千もの検証済みオープンソースの脆弱性のうち、実際にパッチが適用されたのは5%未満です。Akritesは、共有の**Security Incident Response Team (SIRT)**を通じてこの問題を解決しようとしています。このチームは中央集権的な窓口として機能し、レポートの精査、重複のフィルタリング、そしてプロジェクトのメンテナーとの直接的なシームレスな修正の調整を行います。
標準化された開示と「最後の砦となるメンテナー」
Akritesは、厳格なCoordinated Vulnerability Disclosure(協調的な脆弱性開示)プロトコルの下で運営されます。攻撃者に情報を漏洩させないよう、このイニシアチブではTraffic Light Protocol (TLP)を採用しており、すべての初期レポートは最高機密レベルであるTLP:REDから始まります。また、このフレームワークは、技術的な一貫性を確保するために、CVE識別子やCVSS深刻度スコアリングといった確立された業界標準を統合しています。
Akritesの最も重要な革新の一つは、放棄されたプロジェクトやリソース不足のプロジェクトへのアプローチです。オープンソースのエコシステムでは、多くの重要なパッケージがボランティアによって管理されており、彼らには緊急のセキュリティ脅威に対処するための余裕がない場合があります。Akritesは、**「最後の砦となるメンテナー(maintainer of last resort)」**として機能することを目指しています。これにより、もはやアクティブなメンテナーがいない重要なパッケージに対してパッチを提供し、世界のソフトウェアサプライチェーンの安全性を確保します。
主なポイント
- AI主導の緊急性: Akritesは、人間の開発者よりも大幅に速くソフトウェアの脆弱性を特定し、悪用できるAIモデルに対抗するように設計されています。
- 集約されたインテリジェンス: 単一のSIRTを活用することで、このイニシアチブは重複した報告を排除し、オープンソースのメンテナーの管理負担を軽減します。
- サプライチェーンの保護: このプログラムは、「最後の砦となるメンテナー」モデルを導入することで、管理されていない重要なパッケージが悪用される前にパッチが適用されることを確実にします。
