Akrites：保護開源免受AI攻擊的最新嘗試已到來

Akrites是Linux基金會於6月25日宣佈的一項新舉措，旨在透過行業協作，在AI驅動的攻擊者利用漏洞之前，發現、修復並負責任地披露開源軟體中的安全漏洞。該專案得到眾多全球頂級科技和金融公司的支援，包括亞馬遜雲服務、谷歌、微軟、OpenAI、輝達、IBM、摩根大通等，堪稱目前最全面的此類嘗試。

隨著前沿AI模型能夠快速掃描大型程式碼庫並發現可利用的漏洞，軟體供應鏈安全面臨前所未有的壓力。Linux基金會CEO Jim Zemlin在聯合國開源週上指出，“軟體漏洞的平均利用時間已變為負七天”，意味著駭客在開發者發現漏洞之前就已開始利用。AI的介入使得發現和利用漏洞不再需要深度的專業知識，任何擁有頂級AI大模型的人都能找到安全漏洞。

Akrites並非孤例。此前已有Chainguard的Athena聯盟和IBM與Red Hat的Project Lightwell等計劃，但它們更側重於提供安全程式碼和合規管理平臺。Akrites的獨特之處在於，它旨在為整個行業提供一個“上游修復漏洞的統一協調方式”，讓維護者保持控制權，並集中關注開源專案本身而非單個企業的技術棧。

Akrites的核心機制包括：一個共享的安全事件響應團隊（SIRT），作為維護者的可信協調夥伴，接收漏洞報告並管理修復；一個標準化的協調漏洞披露（CVD）流程，利用CVE識別符號、交通燈協議（TLP）、CWE、CVSS評分等工具追蹤暴露風險；修復結果將按維護者的意願回饋到專案原始倉庫，Akrites明確承諾不會“分支和碎片化”開源。

對於沒有活躍維護者的關鍵包，Akrites將扮演“最後維護者”的角色，協調修復最新支援版本，確保下游使用者不會因庫或工具無人維護而陷入困境。Sonatype的Brian Fox強調了上游工作的槓桿效應：一個易受攻擊的元件可能影響數千個組織，一次上游修復就能降低整個生態系統的風險。

Akrites的初始資金來自Alpha-Omega基金，該基金是Linux基金會指導的基金，此前已支援過大規模開源安全專案。Linux基金會歡迎更多組織貢獻工程資源或額外資金。

如果Akrites成功，維護者將獲得一個強有力的組織化盟友，在AI加速攻擊的時代保持領先。如果失敗，AI驅動的壓力將繼續衝擊依賴開源的經濟基礎。開源開發和安全不再僅僅是地下室裡的活動，個人維護者乃至大型公司都需要像Akrites這樣的協調性行業安全倡議，以建立、維護和支援安全的開源軟體。