Linux 基金會與多家大型科技公司成立 Akrites,以快速保護開源軟體免受 AI 加速的威脅
目錄
您可能想知道
• 協調性的產業行動如何彌合 AI 快速發現漏洞與傳統較慢揭露流程之間的差距?
• 有哪些實際步驟能確保修補程式不僅被公布,還能在整個開源生態系統中真正部署?
主要議題
週四,Linux 基金會宣布啟動 Akrites,這是一項由產業支持的計畫,旨在加速並協調開源軟體中關鍵漏洞的修復,於 AI 驅動的攻擊者發現並利用前進行處理。該計畫以 19 個創始組織啟動——包括 Amazon、Anthropic、Citi、Google、JPMorgan Chase、Microsoft、NVIDIA 與 OpenAI——並明確設計來應對現代 AI 工具帶來的緊迫時程挑戰。
大型語言模型與前沿 AI 系統的進展,已大幅縮短在大型程式庫中發現軟體缺陷所需的時間。過去需要數天或數週由專業研究人員發現並驗證複雜漏洞,如今的 AI 能在數分鐘或數小時內掃描大型開源專案並回傳已確認的漏洞。這種加速創造了一個不穩定的窗口:若惡意行為者使用 AI 定位缺陷,而防禦方未能協調迅速修補,後果可能快速且嚴重。
產業簽署方認為,傳統的協調揭露模式並非為此新速度而設計。過去,漏洞通報常來自多個不同方,維護者經常因數量與官僚流程而不堪負荷。這種分散可能讓維護者淹沒在重複報告中並減緩回應。新的威脅動態意味著過去被視為可接受的揭露與修復時程,現在可能會讓關鍵基礎設施處於危險暴露之中。
為了解決此問題,Akrites 實施了一個中央且機密的安全事件應變小組(SIRT)。Akrites 作為單一、可預期的合作夥伴,取代由眾多獨立組織分別聯絡各維護者的情況。SIRT 依據既定的漏洞追蹤與負責任揭露標準驗證重大漏洞並與上游維護者協調修復。 當關鍵套件缺乏活躍維護者時,Akrites 承諾出面成為最後的維護者,確保即使在孤兒專案中也能產生並交付修補程式。
計畫創辦人直言其風險:廣泛使用套件中的未揭露缺陷可能成為攻擊者的強大武器。近期報導與分析顯示,AI 揭露的漏洞修補率非常低,這放大了相關擔憂。Endor Labs 執行長 Varun Badhwar 估計,在最近數月由 AI 驗證揭露的數千個開源漏洞中,修補率不到 5%。此數據凸顯了操作模式的急迫性:不僅要優先發現與揭露,還要確保有效、及時的修復與部署。
Akrites 的運作模式著重於三個實務要素:驗證、協調與支援。驗證確保發現被確認並經過優先排序,以避免讓維護者耗費注意力在低價值噪音上。協調則減少重複的聯繫,並將經驗證的發現導入維護者可以信賴的單一工作流程。支援包含財務與工程協助,讓維護者能實際產出高品質的修補並負責任地揭露。Rust Foundation 執行長 Rebecca Rumbul 強調,長久以來過度假定維護者的善意;提供持續支援是承認開源維護的人力與資源限制。
產業領袖也強調,僅公布修補程式並不足夠——最終目標必須是廣泛部署。JPMorgan Chase 資訊長 Pat Opet 總結道,AI 已將發現與利用之間的間隔壓縮到近乎即時,使攻擊者能在許多下游系統套用更新之前,逆向工程已公布的修補並構造漏洞利用。因此,Akrites 將成功定義為 修補程式部署,而不僅僅是修補程式公布。這一導向促使該計畫在修補產出之外同時考慮分發與採納機制。
此啟動與產業內的平行行動同時發生。OpenAI 在三天前宣布了它自己的計畫 Patch the Planet——一個利用 GPT-5.5-Cyber 與 Trail of Bits 工程師的衝刺,目標是向多個開源專案交付修補。雖然 Patch the Planet 強調 AI 輔助的發現與快速交付修補並以專家人工審查為輔,Akrites 則專注於協調層面:驗證發現並確保它們以受控、基於標準的方式上送到維護者與專案。這兩項努力在實務上互為補充,Akrites 提供跨產業的路由與治理以放大各專案層級的修補工作。
資金與治理安排強化了計畫的運作意圖。由 Linux 基金會主導的 Alpha-Omega 基金將提供 Akrites 種子資金;該基金自 2022 年以來已透過超過 2000 萬美元的補助支持數十項開源安全工作。Akrites 邀請其他組織透過在 akrites.org 上提供工程資源或資金加入,建立更廣泛的聯盟以維持此模式。
最終,Akrites 回應的是已改變的風險環境:AI 加速了漏洞的發現,而這種速度暴露了社群在溝通、優先排序與修復安全問題上的結構性弱點。透過中央化驗證、為維護者提供可信的夥伴、承諾維護孤兒關鍵套件,並將部署視為成功的最終衡量,Akrites 試圖縮短端到端的漏洞生命週期,以符合現今對手的作業方式。
此計畫也承認一種社會契約:開源維護者支撐著公司與政府所依賴的軟體堆疊,但維護者常缺乏回應大規模高壓安全事件所需的資源與制度支援。Akrites 旨在將部分負擔重新分配給受益於該軟體的組織,不僅提供協調,還提供具體的財務與工程協助,確保及時且負責任的修復。
雖然 Akrites 是重要的一步,但它是更廣泛生態系統回應的一部分,該生態系統包括 AI 輔助的發現計畫、廠商主導的修補活動與社群驅動的安全工具。接下來的階段將檢驗集中協調、結合產業承諾與資金是否能實質提升修補率並減少 AI 啟用攻擊者目前利用的暴露窗口。
關鍵見解表
| 面向 | 描述 |
|---|---|
| 目的 | 在 AI 可被利用前,協調快速修復關鍵的開源漏洞。 |
| 創始成員 | 19 個組織,包含大型科技、金融與安全公司(例如 Amazon、Google、OpenAI)。 |
| 核心機制 | 一個機密的安全事件應變小組,用以驗證、優先排序並將修復向上游路由。 |
| 關鍵承諾 | 對缺乏活躍維護者的關鍵套件擔任最後的維護者。 |
| 關鍵指標 | AI 發現漏洞的修補率少於 5%,促使緊急行動。 |
| 資金 | 由 Alpha-Omega(Linux 基金會主導基金)提供種子資金;亦歡迎額外貢獻。 |
| 成功定義 | 跨下游系統的修補程式部署,而不僅僅是修補程式公布。 |
之後……
Akrites 代表對加速威脅環境的結構性回應。其影響將取決於持續的產業參與、明確的操作標準,以及修補部署率的可量化改善。如果成功,該計畫可以縮短發現與修復之間的間隔,減少未修補的關鍵漏洞數量,並為維護者提供持久的支援。如果未達成,社群仍能更清楚地看見在何處需改善協調、資金與工具,以在 AI 速度下保護開源。未來幾個月將顯示集中且由產業主導的協調是否能成為維護者與開源軟體使用者迫切需要的可靠通道。
