维度网讯,科技公司Anthropic、亚马逊云服务(AWS)、IBM和微软等共同宣布,将联合开展行动,旨在查找、披露并修复开源软件中的安全漏洞。

该组织名为Akrites,其核心任务是建立共享安全事件响应团队,并完善协调漏洞披露流程。该联盟由Linux基金会(Linux Foundation)领导,创始成员将为该项工作投入资金、工程师和网络安全专业知识等大量资源。
官员表示,这一计划主要受到前沿AI模型的推动,这些模型极大加快了发现关键软件应用漏洞的能力。与此同时,近几个月来,恶意行为者已展现出将AI武器化用于复杂攻击的手段。现有开源生态系统在漏洞发现和修复速度上存在不足,难以保护数百万用户免受潜在攻击。该组织在致行业的一封公开信中概述了部分担忧。
“人工智能打破了攻击者与防御者之间以往的平衡,改变了软件易用性和重用的格局,”联盟在信中写道。
开源安全基金会(Open Source Security Foundation)首席技术官兼Linux基金会首席安全架构师克里斯托弗·罗宾逊(Christopher Robinson)表示,Akrites旨在解决开源社区在制定协调漏洞披露流程方面面临的一些系统性挑战。他指出,近年来大型语言模型和复杂扫描工具的出现,使这些历史性挑战变得更加严峻。
“上游项目被各种质量参差不齐的漏洞报告淹没,远远超出了这些志愿开发者评估和跟进的能力,”罗宾逊向Cybersecurity Dive表示。
Akrites的种子资金将由Linux基金会旗下定向基金Alpha Omega提供。其他组织被要求提供额外资源或工程人才。
近年来,开源社区日益担忧传统维护者无法快速发现和披露漏洞,从而无法防止广泛的供应链攻击。Endor Labs联合创始人兼首席执行官瓦伦·巴德瓦尔(Varun Badhwar)向Cybersecurity Dive介绍,Project Glasswing宣布后仅一个月,就发现了超过23,000个漏洞,影响了约1,000个开源项目。其中约6,000个被视为高严重性或关键漏洞。此外,Glasswing的合作伙伴又发现了10,000个高严重性或关键缺陷。但截至目前,这些漏洞中仅有5%已得到修复。
“没有任何志愿者生态系统能够承受这样的冲击,”巴德瓦尔表示。
Akrites的其他创始公司还包括思科、花旗、摩根大通、英伟达、OpenAI、爱立信等。









