维度网讯，Linux基金会（Linux Foundation）启动Akrites项目，这是一项旨在协调关键开源软件漏洞发现、修复及负责任披露的行业新倡议，以应对人工智能加速漏洞发现带来的安全挑战。该项目汇集了亚马逊云服务（Amazon Web Services）、Anthropic、思科（Cisco）、爱立信（Ericsson）、谷歌（Google）、IBM、摩根大通（JPMorganChase）、微软（Microsoft）、英伟达（NVIDIA）、OpenAI、红帽（Red Hat）、沃达丰（Vodafone）、Zscaler以及多家主要科技公司、AI开发商、金融机构、电信及网络安全企业，将建立共享的安全事件响应团队（SIRT）和统一的协调漏洞披露（CVD）流程。

Akrites项目旨在应对前沿AI模型带来的挑战，这些模型可在数分钟内而非数周内分析大型开源代码库并识别安全缺陷。与以往主要关注漏洞发现或软件供应链透明度的开源安全努力不同，Akrites专注于在漏洞公开之前协调修复。该倡议将提供单一协调点，与上游维护者合作，利用已获行业认可的框架如CVE、CWE、CVSS、EPSS、SSVC、VEX和交通灯协议（TLP），避免多个组织各自独立报告和修补同一漏洞。参与方还包括花旗（Citi）在内的金融机构。该项目还计划与政府网络安全工作协调，并在关键软件项目失去活跃维护者时，充当“最后维护者”。

该项目初始资金来自Linux基金会的定向基金Alpha-Omega。启动同时，创始成员发布公开信《我们都依赖开源。我们将共同捍卫它》，强调AI从根本上改变了软件漏洞发现的经济性，需要协调行业响应，确保在漏洞被利用前补丁能送达关键基础设施。Akrites项目将为关键开源项目启动共享安全事件响应团队，创建标准化、保密优先的协调漏洞披露流程，协调漏洞修复与公开披露，支持上游维护者，并利用既有安全框架。种子资金由Alpha-Omega项目提供，创始成员涵盖云提供商、AI公司、网络设备商、金融机构及安全公司。Linux基金会执行董事Jim Zemlin表示，该倡议反映了新的安全现实，即AI大幅压缩了漏洞发现与潜在利用之间的时间窗口，协调行业响应对保护全球关键基础设施至关重要。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com