AI發現3900個關鍵開源漏洞，IBM投入50億美元修復

IBM和Red Hat於2026年5月28日宣佈了一項重大計劃：Project Lightwell，一個投入50億美元的企業級開源軟體安全清算所。該計劃由2萬名工程師和先進AI工具支援，核心目標是在攻擊者利用漏洞之前發現並修復它們。這一計劃的催化劑來自Anthropic的Mythos Preview AI模型，該模型在預覽執行中就掃描出近3900個高或嚴重級別的漏洞。這並非多年緩慢審計的結果，而是單一前沿AI模型一次執行的成績，而且模型還在不斷改進。

漏洞問題日益嚴峻。2024年公開的CVE超過4萬個，IBM預計到2026年這一數字可能攀升至5.9萬。這種加速並非軟體編寫變得更草率，而是AI驅動的漏洞發現能力以人類安全團隊無法比擬的規模擴充套件。超過90%的財富500強企業依賴開源軟體，每一個CVE都可能成為銀行、醫院、電網等生產系統的潛在入侵路徑。許多維護開源軟體的是志願者或小團隊，缺乏處理每月數百份漏洞報告的資源。

Project Lightwell包含三個具體行動：首先是一個協調的安全清算所，企業可以在公開披露前向IBM和Red Hat報告敏感漏洞，IBM在不訪問企業原始碼的情況下驗證並開發修復程式，然後將補丁交付給客戶控制的倉庫，並最終向上遊專案貢獻。其次，該計劃不要求企業升級依賴版本，而是為它們正在生產環境中執行的精確版本提供回溯補丁，例如針對固定的Java庫版本進行修復，無需強制升級。目前重點在Maven和Java，後續將涵蓋PyPI、npm和Go。第三，AI輔助工程：AI負責高容量漏洞分類、優先順序排序和初步補丁開發，工程師則負責審查、完善並將補丁最終提交到上游專案和客戶環境。

早期採用者包括美國銀行、花旗、高盛、摩根大通、萬事達卡、Visa等11家主要金融機構。它們的參與有助於在專案啟動初期就解決複雜供應鏈中的邊緣問題。

開源社群的反應總體並非敵意，但存在三大關切：AI生成的補丁能否達到上游接收標準？人們擔心大量補丁雖然能解決CVE但會使程式碼庫更難維護。IBM和Red Hat方面表示2萬名工程師都是有經驗的開源貢獻者，會確保AI只用於初步工作，人類負責審查和貢獻。但商業壓力是否會影響這一比例仍是問題。第二個擔憂是付費客戶是否會優先獲得補丁？Red Hat的“上游優先”政策以及歐洲《網路彈性法案》的法律強制力將限制這種偏離。第三個未充分解答的問題是：那些沒有維護者的專案怎麼辦？IBM尚未完全解決那些被廣泛依賴但已被遺棄的軟體層問題。

IBM選擇此時行動並非偶然。AI漏洞浪潮正在加劇，披露數量攀升，自動化利用工具日益複雜，從漏洞發現到被利用的視窗不斷縮短。IBM押注企業願意為管理型開源安全付費，Red Hat已在Linux和OpenShift上證明了這一模式。Lightwell將這一賭注擴充套件到完整的應用依賴樹，包括企業應用引入但無人正式維護的獨立庫和AI框架。

最終，Project Lightwell是否成功取決於上游貢獻的實際執行。如果2萬名工程師能提供高質量補丁、共同維護專案並幫助小型維護者應對CVE洪流，那麼社群收益將是真實的。最困難的問題並非技術是否可行，而是一個50億美元的商業專案能否在業務增長時保持與開源社群利益的一致。Red Hat在這方面有著較好的記錄，IBM也已承諾保持Red Hat工程團隊的獨立性。

更多資訊請訪問ibm.com/products/lightwell。

關鍵數字：50億美元投入；2萬名工程師；AI發現3900個高/嚴重漏洞；2024年CVE超4萬；2026年預計5.9萬；IBM使用超6.2萬個開源包；11家金融機構已簽約。