Chainguard新联盟Athena利用AI抢先修复开源漏洞，抵御攻击者

随着AI技术的普及，开源软件安全面临新的威胁。攻击者现在可以利用AI模型轻易发现并利用漏洞，传统的协调披露机制已无法应对。为此，软件公司Chainguard联合二十多家企业成立了Athena联盟，旨在通过AI协作提前发现并修复开源漏洞。

Athena联盟的成员包括JPMorgan Chase、Cisco、Cloudflare、Docker、Kyndryl和PwC等金融和企业基础设施巨头。这些企业面临严格的监管和客户对软件供应链安全的要求，联盟使他们能够共享数据、AI能力和修复工作，从零散的修复转向协调模式，在攻击者利用前解决关键漏洞。

Athena的核心优势在于速度。它通过AI系统扫描海量开源代码和依赖图，标记潜在弱点，以便上游验证和修复。当无法立即提供补丁时，Athena会叠加独立保护层，确保在最终修复前持续覆盖。具体包括：发现阶段汇集联盟内的审查结果，包括Anthropic的Project Glasswing和OpenAI的Daybreak等前沿研究项目；在披露前通过Chainguard Libraries向成员提供私有分支和加固版本；持续与上游活动协调；合作伙伴在基础设施、平台和网络层面推送非补丁缓解措施；网络安全伙伴添加检测和虚拟补丁；最后进行上游协调披露。

Chainguard将Athena与其默认安全的产品线直接关联，包括符合SLSA Level 3的构建、带有软件物料清单的签名工件、最小化镜像以及每日从源码重建的包，以保持漏洞数量接近零。通过将Athena的发现输入这一工厂，Chainguard可以快速交付加固的容器、库、虚拟机和开源包，同时为客户提供符合FedRAMP、HIPAA、EU Cyber Resilience Act和NIS2等合规要求的清晰溯源。

Chainguard并非唯一尝试协调开源安全的公司。IBM和Red Hat投入了数十亿美元和数千名工程师，OpenSSF也在AI/ML安全工作小组内推进OSS-CRS项目，这是一个用于构建和运行基于LLM的自主漏洞发现和修复系统的标准编排框架。

对于CISO和监管者来说，Athena将是检验AI增强的开源漏洞协作能否从口号转化为可衡量成果的试金石。Chainguard CEO Dan Lorenc表示，Athena目前已投入运行，处理了超过2万个发现，为500多个项目贡献了2000多个补丁，并在约一个月内完成了首次协调披露。他承认这不会完美，但碎片化更糟，停滞不前无法生存，呼吁更多行业加入。