Akrites: 20 ИТ-гигантов объединились, чтобы защитить опенсорс от ИИ-атак

Linux Foundation анонсировала Akrites — скоординированную отраслевую инициативу по защите критически важного открытого ПО от ИИ-угроз. В альянс вошли более 20 компаний: Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler.

Раньше, чтобы найти серьёзную уязвимость, нужно было обладать глубокой экспертизой. Теперь фронтирные ИИ-модели сканируют крупный опенсорс-проект и находят дыры за минуты.

На конференции Open Source Week глава Linux Foundation Джим Землин выдал убийственную цифру:

«Среднее время между обнаружением уязвимости и её эксплуатацией теперь составляет минус семь дней».

Вдумайтесь: к тому моменту, как вы узнаёте о дыре в своём коде, хакеры уже неделю её используют.

Центр проекта — единая команда реагирования на инциденты (SIRT). Она берёт на себя:

Фильтрацию баг-репортов — вместо сотен дублирующих сообщений мейнтейнеры получают один выверенный сигнал.

Координацию патчей — фиксы возвращаются в репозитории на условиях разработчиков, а не через частные форки.

Единую точку контакта — у мейнтейнеров больше не будет паники от разнонаправленных запросов от разных вендоров.

Оценка уязвимостей и обмен данными опираются на стандарты CVE, CVSS и протокол TLP. Отчёты получают максимальный уровень секретности до релиза исправления.

Тут самое интересное. Если критически важный пакет остался без мейнтейнера, Akrites выпускает обновление самостоятельно.

«Когда патчи публикуются, злоумышленники используют ИИ, чтобы мгновенно обратным инжинирингом понять уязвимость и разработать эксплойты. Поэтому наш успех будет измеряться не публикацией патча, а его развёртыванием» — говорится в