AI发现3900个关键开源漏洞，IBM投入50亿美元修复

IBM和Red Hat于2026年5月28日宣布了一项重大计划：Project Lightwell，一个投入50亿美元的企业级开源软件安全清算所。该计划由2万名工程师和先进AI工具支持，核心目标是在攻击者利用漏洞之前发现并修复它们。这一计划的催化剂来自Anthropic的Mythos Preview AI模型，该模型在预览运行中就扫描出近3900个高或严重级别的漏洞。这并非多年缓慢审计的结果，而是单一前沿AI模型一次运行的成绩，而且模型还在不断改进。

漏洞问题日益严峻。2024年公开的CVE超过4万个，IBM预计到2026年这一数字可能攀升至5.9万。这种加速并非软件编写变得更草率，而是AI驱动的漏洞发现能力以人类安全团队无法比拟的规模扩展。超过90%的财富500强企业依赖开源软件，每一个CVE都可能成为银行、医院、电网等生产系统的潜在入侵路径。许多维护开源软件的是志愿者或小团队，缺乏处理每月数百份漏洞报告的资源。

Project Lightwell包含三个具体行动：首先是一个协调的安全清算所，企业可以在公开披露前向IBM和Red Hat报告敏感漏洞，IBM在不访问企业源代码的情况下验证并开发修复程序，然后将补丁交付给客户控制的仓库，并最终向上游项目贡献。其次，该计划不要求企业升级依赖版本，而是为它们正在生产环境中运行的精确版本提供回溯补丁，例如针对固定的Java库版本进行修复，无需强制升级。目前重点在Maven和Java，后续将涵盖PyPI、npm和Go。第三，AI辅助工程：AI负责高容量漏洞分类、优先级排序和初步补丁开发，工程师则负责审查、完善并将补丁最终提交到上游项目和客户环境。

早期采用者包括美国银行、花旗、高盛、摩根大通、万事达卡、Visa等11家主要金融机构。它们的参与有助于在项目启动初期就解决复杂供应链中的边缘问题。

开源社区的反应总体并非敌意，但存在三大关切：AI生成的补丁能否达到上游接收标准？人们担心大量补丁虽然能解决CVE但会使代码库更难维护。IBM和Red Hat方面表示2万名工程师都是有经验的开源贡献者，会确保AI只用于初步工作，人类负责审查和贡献。但商业压力是否会影响这一比例仍是问题。第二个担忧是付费客户是否会优先获得补丁？Red Hat的“上游优先”政策以及欧洲《网络弹性法案》的法律强制力将限制这种偏离。第三个未充分解答的问题是：那些没有维护者的项目怎么办？IBM尚未完全解决那些被广泛依赖但已被遗弃的软件层问题。

IBM选择此时行动并非偶然。AI漏洞浪潮正在加剧，披露数量攀升，自动化利用工具日益复杂，从漏洞发现到被利用的窗口不断缩短。IBM押注企业愿意为管理型开源安全付费，Red Hat已在Linux和OpenShift上证明了这一模式。Lightwell将这一赌注扩展到完整的应用依赖树，包括企业应用引入但无人正式维护的独立库和AI框架。

最终，Project Lightwell是否成功取决于上游贡献的实际执行。如果2万名工程师能提供高质量补丁、共同维护项目并帮助小型维护者应对CVE洪流，那么社区收益将是真实的。最困难的问题并非技术是否可行，而是一个50亿美元的商业项目能否在业务增长时保持与开源社区利益的一致。Red Hat在这方面有着较好的记录，IBM也已承诺保持Red Hat工程团队的独立性。

更多信息请访问ibm.com/products/lightwell。

关键数字：50亿美元投入；2万名工程师；AI发现3900个高/严重漏洞；2024年CVE超4万；2026年预计5.9万；IBM使用超6.2万个开源包；11家金融机构已签约。