Linux Foundation ra mắt Akrites nhằm chống lại các mối đe dọa mã nguồn mở do AI thúc đẩy

Sự tiến bộ nhanh chóng của trí tuệ nhân tạo đã thay đổi căn bản bối cảnh an ninh mạng, mang lại cho những kẻ tấn công khả năng quét và khai thác các lỗ hổng mã nguồn với tốc độ chưa từng thấy. Để đối phó với mối đe dọa ngày càng tăng này, Linux Foundation đã ra mắt Akrites, một sáng kiến hợp tác quy mô lớn được thiết kế để vá các lỗi mã nguồn mở quan trọng trước khi chúng có thể bị vũ khí hóa bởi các cuộc khai thác dựa trên AI.

Mặt trận thống nhất chống lại các cuộc khai thác được tăng tốc bởi AI

Động lực đằng sau Akrites là phản ứng trực tiếp đối với sự thay đổi "cán cân quyền lực" trong an ninh mạng. Trước đây, việc tìm kiếm và sửa lỗi đòi hỏi chuyên môn sâu của con người ở cả hai phía phòng thủ và tấn công. Tuy nhiên, các mô hình LLM và AI hiện đại hiện có thể quét các kho mã nguồn khổng lồ chỉ trong vài phút thay vì vài tuần, làm giảm rào cản gia nhập đối với các cuộc tấn công tinh vi.

Để giải quyết vấn đề này, một liên minh gồm 20 gã khổng lồ công nghệ, các phòng thí nghiệm AI và các tổ chức tài chính đã được thành lập. Các thành viên sáng lập bao gồm những nhà lãnh đạo ngành như Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM và Cisco, cùng với các ông lớn tài chính như JPMorganChase và Citi. Sự tập trung nguồn lực này nhằm thu hẹp khoảng cách giữa tốc độ phát hiện do AI thúc đẩy và sự chậm chạp hiện tại của việc vá lỗi thủ công.

Giải quyết vấn đề phản ứng kiểu "chắp vá"

Các thực hành bảo mật hiện nay thường bị phân mảnh và kém hiệu quả. Nhiều tổ chức thực hiện các đợt quét độc lập trên cùng một gói phần mềm, dẫn đến các báo cáo dư thừa và các bản vá xung đột. Mô hình "chắp vá" này khiến những người duy trì mã nguồn mở bị vùi lấp dưới một núi các phát hiện trùng lặp, thường khiến các lỗi thực sự có thể khai thác được bị thất lạc trong mớ hỗn độn đó.

Sự cấp bách này được nhấn mạnh bởi dữ liệu từ Endor Labs, cho thấy trong số hàng nghìn lỗ hổng mã nguồn mở đã được xác thực được xác định trong những tháng gần đây, chưa đến 5% thực sự được vá. Akrites tìm cách giải quyết vấn đề này thông qua một Đội ứng phó sự cố bảo mật (SIRT) dùng chung. Đội ngũ này đóng vai trò là điểm liên lạc tập trung, thẩm định các báo cáo, lọc các kết quả trùng lặp và phối hợp các bản sửa lỗi liền mạch trực tiếp với những người duy trì dự án.

Công bố tiêu chuẩn hóa và "Người duy trì cuối cùng"

Akrites hoạt động dưới các giao thức Công bố lỗ hổng có phối hợp (Coordinated Vulnerability Disclosure) nghiêm ngặt. Để ngăn chặn rò rỉ thông tin có thể báo động cho những kẻ tấn công, sáng kiến này sử dụng Giao thức Đèn giao thông (Traffic Light Protocol - TLP), trong đó tất cả các báo cáo ban đầu đều bắt đầu ở mức TLP:RED—mức độ bảo mật cao nhất. Khung làm việc này cũng tích hợp các tiêu chuẩn ngành đã được thiết lập như mã định danh CVEchấm điểm mức độ nghiêm trọng CVSS để đảm bảo tính nhất quán về mặt kỹ thuật.

Một trong những đổi mới quan trọng nhất của Akrites là cách tiếp cận đối với các dự án bị bỏ rơi hoặc thiếu nguồn lực. Trong hệ sinh thái mã nguồn mở, nhiều gói phần mềm quan trọng được quản lý bởi các tình nguyện viên, những người có thể thiếu nguồn lực để giải quyết các mối đe dọa bảo mật khẩn cấp. Akrites dự kiến sẽ đóng vai trò là "người duy trì cuối cùng" (maintainer of last resort), can thiệp để cung cấp các bản vá cho các gói quan trọng không còn người duy trì hoạt động, đảm bảo chuỗi cung ứng phần mềm toàn cầu luôn an toàn.

Các điểm chính cần lưu ý

  • Sự cấp bách do AI thúc đẩy: Akrites được thiết kế để chống lại các mô hình AI có khả năng xác định và khai thác các lỗ hổng phần mềm nhanh hơn đáng kể so với các nhà phát triển là con người.
  • Trí tuệ tập trung: Bằng cách sử dụng một SIRT duy nhất, sáng kiến này loại bỏ việc báo cáo dư thừa và giảm bớt gánh nặng hành chính cho những người duy trì mã nguồn mở.
  • Bảo vệ chuỗi cung ứng: Chương trình giới thiệu mô hình "người duy trì cuối cùng" để đảm bảo các gói quan trọng không được duy trì sẽ được vá lỗi trước khi chúng có thể bị khai thác.