Linux Foundation объявила о запуске Akrites — скоординированной отраслевой инициативы, направленной на устранение уязвимостей в критически важном open-source ПО до того, как их смогут использовать атакующие с помощью ИИ. В проекте участвуют около 20 компаний, включая Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Vodafone и Zscaler. Причина запуска — смена баланса сил: современные модели ИИ способны сканировать крупные проекты за минуты вместо недель, обнаруживая ошибки значительно быстрее.
Текущая модель реагирования на угрозы безопасности — «лоскутная», отмечают в Linux Foundation. Многие организации независимо сканируют одни и те же пакеты, неоднократно сообщают об одних и тех же находках и иногда выпускают противоречащие друг другу патчи. Мейнтейнеры оказываются завалены дубликатами, а реальные эксплуатируемые уязвимости теряются в шуме, создаваемом ИИ. Генеральный директор Endor Labs Варун Бадхвар обозначил срочность проблемы: по его словам, из тысяч подтвержденных уязвимостей open-source за последние месяцы менее 5% получили патчи.
Ядро Akrites — общая группа реагирования на инциденты безопасности (Security Incident Response Team, SIRT). Она выступает единой точкой контакта для мейнтейнеров open-source, отфильтровывая дубликаты и координируя исправления. Инициатива использует стандартизированный процесс конфиденциального раскрытия уязвимостей — Coordinated Vulnerability Disclosure, основанный на системе идентификаторов CVE, системе оценки серьезности CVSS и протоколе TLP (Traffic Light Protocol). Конфиденциальность ставится во главу угла: каждый отчет начинается на уровне TLP:RED, доступном только назначенной команде. Это предотвращает утечку деталей до выхода патча.
Инициатива призвана сократить дублирование отчетов и ускорить закрытие уязвимостей.
Готовые исправления возвращаются в проект на условиях мейнтейнера, сохраняя контроль за разработчиком. Если у критического пакета больше нет активного мейнтейнера — распространенная проблема волонтерских проектов, — Akrites планирует выступить в роли «мейнтейнера последней надежды» и выпустить патч самостоятельно. Инициатива также намерена координироваться с государственными органами. Начальное финансирование предоставлено фондом Alpha-Omega, действующим под эгидой Linux Foundation.
