Linux 基金会推出 Akrites,应对 AI 驱动的开源威胁

人工智能的飞速发展从根本上改变了网络安全格局,使攻击者能够以空前的速度扫描并利用代码漏洞。为了应对这一日益增长的威胁,Linux 基金会推出了 Akrites,这是一项大规模的协作计划,旨在 AI 驱动的漏洞利用将其武器化之前,修复关键的开源缺陷。

建立统一战线,对抗 AI 加速的漏洞利用

Akrites 的初衷是对网络安全领域不断变化的“力量平衡”做出的直接回应。从历史上看,发现并修复漏洞在防御方和攻击方都需要大量的专业人力。然而,现代大语言模型(LLM)和 AI 模型现在可以在几分钟内扫描海量的代码库,而不再需要数周时间,这降低了发起复杂攻击的门槛。

为了解决这一问题,由 20 家科技巨头、AI 实验室和金融机构组成的联盟已经成立。创始成员包括行业领导者,如 Amazon Web Services (AWS)、Anthropic、Google、Microsoft、NVIDIA、OpenAI、IBM 和 Cisco,以及 JPMorganChase 和 Citi 等金融巨头。这种资源的集中旨在弥合 AI 驱动的漏洞发现速度与当前手动修复缓慢之间之间的差距。

解决“碎片化”响应问题

当前的安全实践往往是碎片化且低效的。许多组织会对相同的软件包进行独立的扫描,导致报告冗余和补丁冲突。这种“碎片化”模式让开源维护者埋没在堆积如山的重复发现中,往往导致真正的、可被利用的漏洞在杂音中被忽略。

Endor Labs 的数据强调了这种紧迫性:在近几个月发现的数千个经过验证的开源漏洞中,实际得到修复的不足 5%。Akrites 试图通过共享的安全事件响应团队 (SIRT) 来解决这一问题。该团队充当中心化的联络点,负责审核报告、过滤重复项,并直接与项目维护者协调无缝修复。

标准化披露与“最后一道维护防线”

Akrites 在严格的协同漏洞披露 (Coordinated Vulnerability Disclosure) 协议下运行。为了防止可能向攻击者泄密的泄露,该计划采用了交通灯协议 (TLP),所有初始报告都从 TLP:RED(最高机密级别)开始。该框架还集成了 CVE 标识符CVSS 严重程度评分等既定的行业标准,以确保技术的一致性。

Akrites 最显著的创新之一是其对被弃用或资源不足项目的处理方式。在开源生态系统中,许多关键软件包由志愿者管理,他们可能缺乏处理紧急安全威胁的精力。Akrites 计划充当**“最后一道维护防线 (maintainer of last resort)”**,为那些不再有活跃维护者的关键软件包提供补丁,从而确保全球软件供应链的安全。

核心要点

  • AI 驱动的紧迫性: Akrites 旨在对抗那些识别和利用软件漏洞的速度显著快于人类开发者的 AI 模型。
  • 集中化情报: 通过利用单一的 SIRT,该计划消除了冗余报告,并减轻了开源维护者的管理负担。
  • 供应链保障: 该计划引入了“最后一道维护防线”模式,以确保关键的、无人维护的软件包在被利用之前得到修复。