Linux基金會推出Akrites項目,保護開源軟件免受AI驅動的安全漏洞攻擊
Linux基金會聯合亞馬遜、Anthropic、OpenAI、英偉達、微軟、紅帽等公司推出Akrites項目,旨在幫助關鍵開源軟件應對AI/大語言模型發現的新安全漏洞,確保這些問題在惡意行為者利用之前得到有效解決。Akrites建立共享安全事件響應團隊(SIRT)和標準化的協調漏洞披露(CVD)流程,以保密為首要原則。它還作為無人維護的關鍵包的最終維護者。
隨着人工智能技術的迅猛發展,特別是大型語言模型(LLM)在安全研究中的廣泛應用,開源軟件正面臨着前所未有的漏洞發現速度。攻擊者可能利用這些漏洞對系統進行破壞,而傳統的安全響應機制往往難以跟上AI驅動的漏洞挖掘節奏。為了解決這一緊迫問題,Linux基金會聯合了包括亞馬遜雲服務(AWS)、Anthropic、Chainguard、思科、花旗集團、Endor Labs、愛立信、谷歌、IBM、摩根大通、微軟及GitHub、英偉達、OpenAI、RapidFort、紅帽、Rust基金會、Sonatype、沃達豐和Zscaler在內的眾多行業巨頭,共同推出了Akrites項目。
Akrites項目的核心是建立一個行業統一的共享安全事件響應團隊(SIRT)和標準化的協調漏洞披露(CVD)流程。該流程以保密為首要原則,確保漏洞信息在修復完成前僅對必要人員開放,從而降低被惡意利用的風險。修復程序完成後,將按照原項目維護者的條件回饋到對應的開源項目中,充分尊重維護者的自主權和項目治理結構。對於那些已經缺乏活躍維護者的關鍵開源包,Akrites將承擔起“最後維護者”的角色,確保這些包的穩定版本能夠及時獲得安全補丁,保護整個生態系統的安全。
此外,Akrites還將與政府機構密切合作,協調公共和私營部門的防禦行動,形成統一的應對策略。這一舉措不僅提升了單個項目的安全性,也增強了整個開源社區在面對AI時代新型威脅時的韌性。通過集中行業資源、專家知識和標準化流程,Akrites有望顯著縮短從漏洞發現到修復的週期,確保關鍵基礎設施的安全。更多關於Akrites項目的信息和參與方式,請訪問官方網站Akrites.org。