Chainguardの新連合Athena、AIを活用して攻撃者より先にオープンソースの欠陥を修正

AI技術の普及により、オープンソースソフトウェアのセキュリティは新たな脅威に直面しています。攻撃者はAIモデルを利用して脆弱性を容易に発見・悪用できるようになり、従来の調整開示メカニズムでは対応が難しくなっています。そこでソフトウェア企業Chainguardは20社以上の企業と連携し、Athena連合を結成。AIを活用した協調的な脆弱性発見・修正を目指します。

Athena連合のメンバーにはJPMorgan Chase、Cisco、Cloudflare、Docker、Kyndryl、PwCなどの金融・エンタープライズインフラ大手が名を連ねます。これらの企業は厳しい規制と顧客からのソフトウェアサプライチェーンリスク圧力に直面しており、連合はデータ、AI能力、修正作業を共有し、バラバラな修正から協調モデルへ移行して攻撃者より先に重要な脆弱性に対処することを可能にします。

Athenaの核心はスピードです。AIシステムが大量のオープンソースコードと依存関係グラフを精査し、潜在的な弱点を特定して上流で検証・修正できるようにします。パッチがすぐに利用できない場合、Athenaは独立した保護層を積み重ね、最終的な修正までカバレッジを維持します。具体的には、AnthropicのProject GlasswingやOpenAIのDaybreakなどの最先端研究プログラムからの発見を含む連合全体の発見をプールし、開示前にChainguard Librariesを通じてメンバーにプライベートフォークと強化バージョンを提供。各発見は上流の活動と調整され、パートナーはインフラ、プラットフォーム、ネットワーク層で非パッチ緩和策を展開。サイバーセキュリティパートナーは追加の検出と仮想パッチを提供し、最終的に上流調整開示を実施します。

ChainguardはAthenaを自社のセキュアバイデフォルト製品ラインに直接結び付けています。これにはSLSA Level 3準拠のビルド、SBOM付き署名アーティファクト、最小イメージ、毎日ソースから再構築されたパッケージが含まれ、脆弱性数をほぼゼロに保ちます。Athenaの発見をこの工場に投入することで、強化されたコンテナ、ライブラリ、VM、オープンソースパッケージを迅速に提供し、FedRAMP、HIPAA、EU Cyber Resilience Act、NIS2などのコンプライアンス要件に対応した明確なトレーサビリティを顧客に提供します。

Chainguardだけがオープンソースコードのセキュリティ調整に取り組んでいるわけではありません。IBMとRed Hatは数十億ドルと数千人のエンジニアを投入し、OpenSSFもAI/MLセキュリティワーキンググループ内でOSS-CRSプロジェクトを進めています。これはLLMベースの自律的なバグ発見・修正システムを構築・実行するための標準オーケストレーションフレームワークです。

CISOや規制当局にとって、AthenaはAIを活用したオープンソース脆弱性協調がマーケティングスローガンから測定可能な結果に変わるかどうかのテストケースとなるでしょう。ChainguardのCEO Dan Lorencは、Athenaはすでに稼働しており、2万以上の発見を処理し、500以上のプロジェクトに2000以上のパッチを提供、約1ヶ月で最初の調整開示を完了したと述べています。完璧ではないが、断片化はさらに悪く、現状維持は持続不可能であり、より多くの業界が参加することを呼びかけています。