IBM與Red Hat推出Lightwell,以AI防禦開原始碼免受攻擊
IBM和Red Hat將Project Lightwell轉化為兩個商業產品:Lightwell Network和Lightwell Clearinghouse Premier,旨在利用AI大規模識別和修復開源軟體漏洞。該服務結合了生成式AI與人工工程專業知識,為企業提供認證修復,無需改造現有系統。同時,Linux基金會啟動了Akrites,Chainguard推出了Athena,均致力於應對AI驅動的開源安全威脅。
隨著人工智慧在軟體開發中的廣泛應用,安全挑戰也隨之而來。AI既幫助開發者快速構建程式,也使駭客能更快地發現和利用安全漏洞。為此,IBM和Red Hat聯合發起了Project Lightwell,這是一個由50億美元AI計劃支援的專案,旨在大規模識別和修復開源軟體中的漏洞。如今,該專案已轉化為兩個商業產品:Lightwell Network和Lightwell Clearinghouse Premier。
Lightwell Network現已全面上市,而Lightwell Clearinghouse Premier則進入有限可用性階段。據兩家公司稱,Lightwell將經過驗證的企業保護擴充套件到組織的整個軟體組合。其核心是“生成式AI驅動的修復引擎”,該引擎結合了前沿AI模型和人工工程專業知識,能夠識別、驗證和修復現代軟體架構中關鍵依賴項的漏洞。
與傳統方法不同,Lightwell無需客戶不斷追趕上游版本,而是透過自動化將關鍵修復直接反向移植到長期支援的生產軟體版本中。這解決了團隊因相容性測試和重大變更而難以升級的困境。Lightwell Network提供持續的二進位制檔案、原始碼和合規工件(如完整的SBOM)的交付,直接整合到現有流水線中。
Lightwell Clearinghouse Premier則作為一個受信任的中介,用於深度行業協作和高階威脅協調,最初僅限金融服務領域,未來將擴充套件至政府、醫療和電信行業。參與組織可在安全視窗內提交漏洞並請求針對性的修復。
Red Hat總裁兼CEO Matt Hicks表示,Lightwell代表了企業軟體安全方式的根本性轉變。IBM高階副總裁Rob Thomas強調,IBM和Red Hat為企業提供認證修復,無需改造或中斷。同時,所有安全修復都會提交回上游開源社群,確保專案健康。
然而,Lightwell並非唯一應對AI驅動攻擊的方案。Linux基金會與行業合作伙伴推出了Akrites,旨在透過通用框架協調維護者和消費者處理嚴重漏洞。Akrites專注於治理和流程,而非企業級補丁。Chainguard的Athena則是一個跨行業聯盟,彙集了銀行、基礎設施提供商等組織的漏洞發現和修復工作。據Chainguard稱,Athena已處理超過40,000個發現,生成了2,000多個補丁。Athena的工作流程包括共享AI發現、協同修復以及在補丁釋出前的防護。
這三者代表了AI時代開源防禦的不同模式:Lightwell面向企業提供即用修復;Akrites強化專案治理和協調;Athena透過聯盟共享和協作修復。在AI快速發展的背景下,這些方法將共同為開源軟體安全提供必要保障。