IBMとRed Hat、AI攻撃からオープンソースコードを守るLightwellを発表
IBMとRed HatはProject Lightwellを商用化し、Lightwell NetworkとLightwell Clearinghouse Premierの2製品を提供開始。AIを活用してオープンソースソフトウェアの脆弱性を大規模に発見・修正する。生成AIとエンジニアの専門知識を組み合わせ、エンタープライズ向けに認定済みの修正パッチを既存システムにそのまま適用可能。一方、Linux FoundationのAkritesやChainguardのAthenaも異なるアプローチでAI時代のセキュリティ対策を進めている。
AIの台頭により、ソフトウェア開発は効率化する一方、セキュリティリスクも増大しています。AIは開発者にとって強力なツールですが、ハッカーにも脆弱性を発見・悪用する力を与えています。こうした課題に対処するため、IBMとRed HatはProject Lightwellを立ち上げ、50億ドルのAI主導イニシアチブの支援のもと、オープンソースソフトウェアの脆弱性を産業規模で発見・修正する取り組みを進めてきました。今回、このプロジェクトが商用製品として具体化し、Lightwell NetworkとLightwell Clearinghouse Premierの2つが発表されました。
Lightwell Networkは一般提供が開始され、Lightwell Clearinghouse Premierは限定的なオンボーディング段階に入っています。両社によれば、Lightwellは「実証済みのエンタープライズ保護を組織のソフトウェアポートフォリオ全体に拡張」します。中核となるのは「生成AI搭載の修正エンジン」で、最先端のAIモデルと人間のエンジニアリング専門知識を組み合わせ、現代のソフトウェアアーキテクチャに深く組み込まれたクリティカルな依存関係の脆弱性を特定、検証、修正します。
従来の方法とは異なり、Lightwellは顧客に上流のリリースを追いかけることを強制せず、自動化によって重要な修正を長期サポート対象のソフトウェアバージョンに直接バックポートします。これにより、大規模なリグレッションテストや破壊的変更によるチームの麻痺を防ぎます。Lightwell Networkは、デジタル署名付きバイナリ、ソースコード、完全なSBOMを含むコンプライアンス成果物を既存のパイプラインに直接配信します。Lightwell Clearinghouse Premierは、金融サービス向けに限定された信頼できる仲介役として機能し、セキュアなパッチの調整や脆弱性の非公開調整を行います。
Red HatのCEO Matt Hicks氏は、Lightwellはエンタープライズソフトウェアのセキュリティにおける根本的な構造的シフトを表すと述べています。IBMのRob Thomas氏は、IBMとRed Hatが企業に認定済みの修正を提供し、再ツール化や中断を必要としないと強調します。また、セキュリティ修正はすべて上流のオープンソースコミュニティにフィードバックされ、コミュニティの健全性が保たれます。
ただし、LightwellだけがAI攻撃に対抗する唯一の取り組みではありません。Linux FoundationはAkritesを立ち上げ、クリティカルなオープンソースプロジェクトをAI対応脅威から守るための共通フレームワークを提供しています。Akritesはガバナンスと調整を重視し、メンテナーと利用者が重大な脆弱性を協力して処理する仕組みを作ります。ChainguardのAthenaは、金融機関や主要インフラプロバイダを含む20以上の組織が参加する業界連合で、AIによる脆弱性発見を共有し、非公開で修正を協調します。Athenaはすでに40,000以上の発見を処理し、2,000以上のパッチを生成したと報告されています。
これら3つのアプローチ(Lightwellの企業向け即時修正、Akritesのガバナンス、Athenaの協調的修正)は、AI時代のオープンソース防御のさまざまな側面をカバーしています。AIが進化し続ける中、これらすべての取り組みがソフトウェアセキュリティの向上に不可欠となるでしょう。