← 返回信息流
AI 资讯Hacker News·2 小时前

开源依赖已成共识,各方将携手捍卫

原标题:We All Depend on Open Source. We Will Defend It Together

速览

该资讯指出当前科技行业对开源软件的依赖程度日益加深。文章主张各方应团结起来,共同维护开源生态的健康发展。这反映了开源在技术基础设施中的核心地位及其面临的共同挑战。

AI 深度解读

开源安全的新纪元:Akrites 联合宣言深度解读

背景

开源软件(Open Source)几十年来一直是科技领域最伟大的成就之一。我们共同构建的代码如今已成为全球关键基础设施和日常服务的基石,从银行、电信到公用事业,无不依赖于相同的开源库。然而,随着人工智能(AI)技术的爆发,攻击者与防御者之间的平衡被彻底打破。

过去,发现一个主要开源项目中的严重漏洞可能需要专家数周时间;如今,AI 模型可以在几分钟内完成扫描,甚至单次运行即可返回多个漏洞。这种能力若落入恶意之手,将使漏洞发现变成一条高效的流水线。更严峻的是,AI 加速的漏洞发现速度已经迅速超越了开源维护者(Maintainers)打补丁的能力。这不再是理论上的未来风险,而是当前每一个系统所面临的现实状况。

面对这一危机,传统的、分散的安全响应和披露模式已显得捉襟见肘。数十家公司独立扫描同一库并分别提交报告,不仅让维护者淹没在噪音中,还增加了未修补漏洞在修复前泄露的风险。在此背景下,由 AWS、Anthropic、Google、Microsoft、OpenAI 等巨头联合发起的 Akrites 计划应运而生。

核心内容

Akrites 是一项旨在解决关键开源软件漏洞问题的历史性协调行动。其核心目标是创建系统并部署工具,利用社区的集体力量让每个人更安全。该计划由 Amazon Web Services、Anthropic、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、Microsoft、GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone 和 Zscaler 等公司共同支持。

Akrites 的核心策略可以概括为“向上游行动”(Act Upstream)和“统一协调”:

  1. 单一协调入口:Akrites 为漏洞的发现、修复和披露提供了一个机密、可信的单一协调平台。它旨在匹配甚至超越 AI 辅助攻击者的速度,避免维护者面对来自不同来源的冲突补丁或重复报告。
  2. 专属安全响应团队:建立一个共享的、专用的安全事件响应团队(Security Incident Response Team),作为维护者的单一、可预测的合作伙伴,取代以往杂乱无章的报告洪流。
  3. 保密性与负责任披露:Akrites 强调保密性是不可协商的原则。未公开的广泛部署包中的缺陷实质上是一种武器,因此该计划的首要任务是防止泄露。修复方案将直接回流到各个项目的主仓库,并与维护者紧密合作。
  4. 最后守护者机制:当某个关键包没有任何维护者时,Akrites 将作为“最后守护者”(Maintainer of Last Resort),确保修复方案仍能及时送达所有人。
  5. 关注补丁部署而非仅发布:鉴于补丁公开后,对手可利用 AI 快速逆向工程并开发攻击工具,Akrites 衡量成功的标准将是补丁的实际部署情况,而不仅仅是补丁的发布。为此,Akrites 将与关键基础设施的所有者和运营商、民间社会及政府合作,提高协调效率。
  6. 资源投入:参与者将贡献工程资源、安全专业知识或资金。部分公司已经做出了巨大贡献,但集体而言,行业需要投入更多资源来加固共享软件。

关键要点

  • AI 改变了安全博弈规则:AI 将漏洞发现时间从“周”缩短至“分钟”,且能批量发现漏洞,导致防御方(维护者)难以跟上攻击方的自动化节奏。
  • 分散响应模式失效:多家公司独立扫描并提交报告会导致“噪音淹没维护者”,增加漏洞泄露风险,并造成补丁冲突。Akrites 旨在消除这种低效和混乱。
  • 上游修复是关键:Akrites 选择在漏洞产生的源头(上游)进行修复,而非仅在下游应用层打补丁,从根源上提升安全性。
  • 保密优先于公开:在修复完成并部署前,严格保密漏洞细节,防止被恶意利用。未公开的漏洞被视为潜在武器。
  • 填补维护真空:对于无人维护的关键开源项目,Akrites 承诺接手维护责任,确保关键基础设施不因项目失管而崩溃。
  • 结果导向:成功的关键指标是补丁在关键基础设施中的实际部署率,而非仅仅发布补丁公告。
  • 行业集体行动:这不仅是某一家公司的责任,而是整个科技行业的共同承诺。参与者包括云服务商、AI 公司、银行、电信运营商和安全厂商,体现了生态系统的全面参与。

意义与影响

Akrites 的成立标志着开源安全治理进入了一个新的阶段。它承认了一个事实:没有一家公司的围墙足够高,可以将开源安全风险推卸给他人。全球技术栈的高度同质化意味着,任何组件的缺陷都可能引发系统性风险。

对开源社区的影响: 维护者将从繁琐的、重复的安全报告工作中解脱出来,获得一个专业、协调的合作伙伴。这不仅减轻了维护者的负担,还通过“最后守护者”机制保护了那些因缺乏资源而濒临废弃的关键项目,维护了开源生态的健康。

对企业和基础设施的影响: 对于依赖开源软件的关键基础设施运营商(如金融、电信、能源行业),Akrites 提供了一种更可靠的安全保障机制。通过统一的协调披露和快速的补丁部署,降低了被利用的风险。

对 AI 安全格局的影响: Akrites 是防御方利用 AI 技术对抗 AI 攻击的一次大规模实践。它展示了如何通过协调一致的集体行动,将 AI 带来的速度优势转化为防御优势,从而在“猫鼠游戏”中重新夺回主动权。

正如签署方所言:“窗口期正在打开,但不会永远敞开。” Akrites 代表了行业在面对新现实时的集体责任感,旨在为未来的技术系统留下支持开源的遗产,确保全球技术系统的安全与稳定。

相关推荐

查看原文 →akrites.org