Linux Foundation、AIによるエクスプロイトからFOSSを守る「Akrites」を立ち上げ

人工知能技術の急速な進化、特に大規模言語モデル（LLM）のセキュリティ分野への応用により、オープンソースソフトウェアは前例のないペースで脆弱性が発見されています。悪意ある攻撃者はこれらの脆弱性を悪用する可能性があり、従来のセキュリティ対応メカニズムではAI主導の脆弱性発見のスピードに追いつけないことが多いです。この喫緊の課題に対応するため、Linux Foundationは、Amazon Web Services、Anthropic、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、MicrosoftおよびGitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone、Zscalerなどの業界大手と協力し、Akritesプロジェクトを立ち上げました。

Akritesプロジェクトの中心は、業界統一の共有セキュリティインシデント対応チーム（SIRT）と標準化された協調的脆弱性開示（CVD）プロセスの確立です。このプロセスは機密性を最優先し、脆弱性情報は修正が完了するまで必要最小限の関係者のみに開示され、悪用のリスクを低減します。修正プログラムは完了後、各プロジェクトのメンテナの条件に従って元のリポジトリに還元され、メンテナの自主性とプロジェクトのガバナンス構造を尊重します。また、アクティブなメンテナがいない重要なパッケージについては、Akritesが「最終手段のメンテナ」として機能し、これらのパッケージの最新バージョンへのセキュリティパッチがタイムリーに全ユーザーに提供されるようにします。

さらに、Akritesは政府機関とも緊密に連携し、公共および民間の防御活動を調整して統一的な対応戦略を形成します。この取り組みは、個々のプロジェクトのセキュリティを向上させるだけでなく、AI時代の新たな脅威に対するオープンソースコミュニティ全体の回復力を高めます。業界のリソース、専門知識、標準化されたプロセスを集中することで、Akritesは脆弱性発見から修正までの期間を大幅に短縮し、重要なインフラの安全性を確保することが期待されています。Akritesプロジェクトの詳細や参加方法については、公式ウェブサイトAkrites.orgをご覧ください。