Tóm lại
- Quỹ Linux đã ra mắt Akrites vào thứ Năm với 19 thành viên sáng lập để phối hợp khắc phục các lỗ hổng nguồn mở nghiêm trọng trước khi những kẻ tấn công hỗ trợ AI có thể khai thác chúng.
- Theo Giám đốc điều hành Endor Labs, Varun Badhwar, chưa đến 5% trong số hàng nghìn lỗ hổng nguồn mở được AI phát hiện trong những tháng gần đây đã được vá.
- Akrites được thiết kế để thu hẹp khoảng cách phối hợp này.
Quỹ Linux ra mắt Akrites hôm thứ Năm cùng với 19 tổ chức sáng lập—Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI và các tổ chức khác—để phối hợp vá phần mềm nguồn mở quan trọng trước khi những kẻ tấn công được hỗ trợ bởi AI có thể khai thác nó.
Sáng kiến này giải quyết vấn đề về dòng thời gian mà AI đã đặt ra cấp bách. Các mô hình biên giới hiện có thể quét một dự án nguồn mở lớn và trả về nhiều lỗ hổng đã được xác nhận trong vài phút—công việc mà trước đây một nhà nghiên cứu bảo mật có tay nghề phải mất hàng tuần. Như giải mã đã báo cáoClaude Opus 4.8 đã phát hiện ra một lỗ hổng nghiêm trọng trong nhóm quyền riêng tư Orchard của Zcash trong vòng một ngày, làm lộ ra một lỗi đã tồn tại sau bốn năm xem xét của nhà mật mã học.
Nếu hacker mũ trắng tìm ra những sai sót đó thì mọi chuyện đều ổn. Nếu kẻ ác làm vậy, mọi chuyện có thể trở nên thực sự lộn xộn, rất nhanh. Phó CISO Nhân chủng học Jason Clinton cho biết trong thư rằng mô hình hiện tại về phối hợp tiết lộ “đã bị vượt xa bởi tốc độ nhanh chóng mà AI hiện có thể tìm thấy các lỗ hổng” – và việc đạt được một bản sửa lỗi ngược dòng đòi hỏi phải phối hợp các phát hiện “trước khi chúng được tiết lộ và khai thác.”
Mô hình tiết lộ phối hợp có trước Akrites không được xây dựng với tốc độ đó. Nhiều tổ chức sẽ quét độc lập các thư viện giống nhau và trải qua các quy trình quan liêu kéo dài trước khi sửa lỗi—một quy trình mà một thư ngỏ được ký bởi tất cả 19 tổ chức sáng lập được gọi là chôn vùi “những người bảo trì dưới tiếng ồn.”
Giám đốc điều hành Endor Labs Varun Badhwar còn đi xa hơn: Trong số hàng nghìn lỗ hổng nguồn mở đã được xác thực mà AI đã phát hiện trong những tháng gần đây, “chưa đến 5% đã được vá”.
Akrites thay thế quy trình đó bằng một Nhóm ứng phó sự cố bảo mật duy nhất, bí mật—một đối tác có thể dự đoán được dành cho người bảo trì thay vì tràn ngập các báo cáo không phối hợp. Các bản sửa lỗi sẽ quay trở lại kho lưu trữ ban đầu của từng dự án theo điều khoản của người bảo trì, sử dụng các tiêu chuẩn để theo dõi lỗ hổng. Khi một gói quan trọng không có người duy trì hoạt động, Akrites cam kết sẽ tham gia với tư cách là người duy trì phương án cuối cùng.
Chương trình này được xây dựng trước tiên để ngăn chặn rò rỉ – bức thư ngỏ gọi một lỗ hổng chưa được tiết lộ trong gói “vũ khí” được triển khai rộng rãi. Giám đốc điều hành của Rust Foundation Rebecca Rumbul cho biết thiện chí của các nhà bảo trì nguồn mở từ lâu đã được coi là đương nhiên và sáng kiến này sẽ giúp họ phối hợp làm việc.
Bà nói: “Akrites hứa hẹn sự phối hợp có ý nghĩa với các nhà bảo trì thượng nguồn, hỗ trợ tài chính và toàn thời gian để tìm, sửa chữa và tiết lộ các lỗ hổng bảo mật một cách có trách nhiệm cũng như cam kết thực sự từ các công ty có ảnh hưởng nhất về công nghệ và tài chính để giải quyết vấn đề này”.
JPMorganChase CISO Pat Opet đã phác thảo những gì thành công thực sự đòi hỏi cho nỗ lực này. Opet cho biết: “AI đã nén rất nhiều thời gian từ lúc phát hiện đến khai thác lỗ hổng xuống gần thời gian thực”, nghĩa là kẻ thù có thể thiết kế ngược một bản vá đã xuất bản và xây dựng một bản khai thác hoạt động trước khi nhiều hệ thống hạ nguồn triển khai bản sửa lỗi.
Theo Opet, thành công là “triển khai bản vá chứ không phải xuất bản bản vá”.
OpenAI đã có ra mắt nỗ lực song song của riêng họ, Patch the Planet, ba ngày trước Akrites—lần chạy nước rút đầu tiên sử dụng các kỹ sư GPT-5.5-Cyber và Trail of Bits trên 19 dự án nguồn mở đã hợp nhất hàng chục bản vá. Trưởng nhóm OpenAI Cyber Clint Gibler gọi việc đảm bảo nguồn mở là “một cam kết lâu dài” đối với công ty và cho biết Akrites giúp “tăng cường sự phối hợp trong toàn ngành”.
Mặc dù tương tự nhau, nhưng hai nỗ lực này khác nhau về phạm vi: Patch the Planet tập trung vào việc phát hiện và phân phối bản vá được hỗ trợ bởi AI với sự đánh giá của chuyên gia con người; Akrites xây dựng lớp phối hợp định tuyến các phát hiện đã được xác thực ngược dòng trong toàn ngành.
Alpha-Omega, một quỹ do Linux Foundation chỉ đạo, sẽ cung cấp vốn ban đầu cho Akrites. Quỹ đã cấp hơn 70 khoản tài trợ với tổng trị giá hơn 20 triệu USD cho các dự án bảo mật nguồn mở kể từ năm 2022. Các tổ chức khác có thể tham gia bằng cách đóng góp tài nguyên kỹ thuật hoặc tài trợ tại akrites.org.
Bản tin tóm tắt hàng ngày
Bắt đầu mỗi ngày với những tin tức hàng đầu ngay bây giờ, cùng với các tính năng độc đáo, podcast, video và hơn thế nữa.
