Chainguard新聯盟Athena利用AI搶先修復開源漏洞，抵禦攻擊者

隨着AI技術的普及，開源軟件安全面臨新的威脅。攻擊者現在可以利用AI模型輕易發現並利用漏洞，傳統的協調披露機制已無法應對。為此，軟件公司Chainguard聯合二十多家企業成立了Athena聯盟，旨在通過AI協作提前發現並修復開源漏洞。

Athena聯盟的成員包括JPMorgan Chase、Cisco、Cloudflare、Docker、Kyndryl和PwC等金融和企業基礎設施巨頭。這些企業面臨嚴格的監管和客户對軟件供應鏈安全的要求，聯盟使他們能夠共享數據、AI能力和修復工作，從零散的修復轉向協調模式，在攻擊者利用前解決關鍵漏洞。

Athena的核心優勢在於速度。它通過AI系統掃描海量開源代碼和依賴圖，標記潛在弱點，以便上游驗證和修復。當無法立即提供補丁時，Athena會疊加獨立保護層，確保在最終修復前持續覆蓋。具體包括：發現階段彙集聯盟內的審查結果，包括Anthropic的Project Glasswing和OpenAI的Daybreak等前沿研究項目；在披露前通過Chainguard Libraries向成員提供私有分支和加固版本；持續與上游活動協調；合作伙伴在基礎設施、平台和網絡層面推送非補丁緩解措施；網絡安全夥伴添加檢測和虛擬補丁；最後進行上游協調披露。

Chainguard將Athena與其默認安全的產品線直接關聯，包括符合SLSA Level 3的構建、帶有軟件物料清單的簽名工件、最小化鏡像以及每日從源碼重建的包，以保持漏洞數量接近零。通過將Athena的發現輸入這一工廠，Chainguard可以快速交付加固的容器、庫、虛擬機和開源包，同時為客户提供符合FedRAMP、HIPAA、EU Cyber Resilience Act和NIS2等合規要求的清晰溯源。

Chainguard並非唯一嘗試協調開源安全的公司。IBM和Red Hat投入了數十億美元和數千名工程師，OpenSSF也在AI/ML安全工作小組內推進OSS-CRS項目，這是一個用於構建和運行基於LLM的自主漏洞發現和修復系統的標準編排框架。

對於CISO和監管者來説，Athena將是檢驗AI增強的開源漏洞協作能否從口號轉化為可衡量成果的試金石。Chainguard CEO Dan Lorenc表示，Athena目前已投入運行，處理了超過2萬個發現，為500多個項目貢獻了2000多個補丁，並在約一個月內完成了首次協調披露。他承認這不會完美，但碎片化更糟，停滯不前無法生存，呼籲更多行業加入。