答鸭Signals

Linux Foundation 启动 Akrites 保护开源安全

The Decoder··作者 Maximilian Schreiner

关键信息

Akrites 的核心是一个统一的安全事件响应团队,用于审核报告、过滤重复项并按照协调漏洞披露流程推进修复。所有报告初始都以 TLP:RED 保密处理,该计划还沿用 CVE、CVSS 和 TLP 等标准,并计划在无人维护的软件包上充当“最后维护者”。

资讯摘要

Linux Foundation 宣布推出 Akrites,这是一个旨在保护关键开源软件免受 AI 赋能攻击的行业协作计划。该计划大约有 20 家机构参与,包括 Amazon Web Services、Anthropic、Cisco、Citi、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone 和 Zscaler 等云、AI、安全、金融与基础设施公司。公告称,Linux Foundation 旗下的定向基金 Alpha-Omega 将提供种子资金。这个项目的目标是用更协调的机制,取代当前碎片化的漏洞响应方式。现在,多个组织常常对同一软件包进行扫描,提交重复报告,甚至发出相互冲突的补丁,这会让维护者不堪重负。Akrites 则建立了一个共享的 Security Incident Response Team,由其接收报告、验证问题并与项目维护者协调修复。

该计划采用协调漏洞披露流程,并依赖 CVE、CVSS 和 TLP 等既有框架。保密性被放在核心位置:每份报告最初都以 TLP:RED 处理,只有指定的案件团队才能查看,直到适合公开披露为止。Linux Foundation 认为,这一举措之所以重要,是因为现代 AI 系统可以在几分钟内扫描大型代码库,从而大幅降低发现和利用漏洞的门槛。Akrites 还计划在关键但已经无人维护的项目上充当“最后维护者”,确保补丁仍能交付给用户。该计划也会与政府机构协调,以便公共和私人防御方能够同步应对。

Linux Foundation 启动 Akrites 保护开源安全

资讯正文

Linux Foundation 和 20 家科技巨头推出 Akrites,力求在由 AI 驱动的攻击到来前修复开源漏洞

要点

- Linux Foundation 与大约 20 家科技公司已启动 Akrites 倡议,旨在保护开源软件漏洞免受 AI 驱动攻击。

- 由于 AI 模型可以在几分钟内扫描代码,甚至让非专家也具备实施复杂攻击的工具,Akrites 将取代当前零散、缺乏协调的漏洞报告体系。

- 一个中央团队将以保密方式审核报告并协调修复。对于已经无人维护的项目,该倡议将自行发布所需补丁。

大约二十家科技公司、AI 实验室和银行正通过 Akrites 联手,在 AI 工具能够利用之前,修复关键开源软件中的漏洞。

Linux Foundation 已宣布推出 Akrites,这是一个协调一致的行业倡议,旨在与维护者一起修补广泛使用的开源软件中的安全漏洞,防止攻击者抢先利用。创始成员包括 Amazon Web Services、Anthropic、Cisco、Citi、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone 和 Zscaler。

其原因在于力量对比已经发生变化:过去,发现并修复开源代码中的严重漏洞,往往需要攻击与防守双方具备相近的专业能力。如今,现代 AI 模型可以在几分钟内扫描一个大型项目,而不是花上数周,从而更快暴露漏洞。一旦这些能力被广泛获得,哪怕没有深厚技术背景的攻击者,也能获得实施复杂利用的工具。

Linux Foundation 将当前的安全响应模式描述为拼凑而成。许多组织会独立扫描同一批软件包,多次报告相同问题,有时还会提交相互矛盾的补丁。维护者被大量重复报告淹没,而真正可被利用的漏洞却淹没在 AI 生成的噪音中。Endor Labs 首席执行官 Varun Badhwar 直言其紧迫性:在最近几个月已验证的数千个开源漏洞中,不到 5% 已经打上补丁。

一个共享响应团队,而不是一百份彼此独立的报告

Akrites 的核心是一支共享的安全事件响应团队(SIRT)。它作为开源项目维护者的单一、可靠联络点,取代几十家机构各自独立标记同一漏洞的做法。该团队会审核收到的报告,筛除重复项,然后协调修复。

Akrites 采用一套标准化的保密漏洞披露流程,业内称为协调漏洞披露(Coordinated Vulnerability Disclosure)。它建立在 CVE 标识系统、CVSS 严重性评分框架,以及用于规定谁能看到什么内容的 TLP 交通灯协议等既有标准之上。保密性是核心:每一份报告一开始都处于 TLP:RED,即最高保密级别,只有被分配的案件团队才能访问。这样,漏洞细节就不会在补丁准备好之前泄露出去。

即便没有维护者,维护者仍保有控制权

完成的修复会按维护者的意愿回流到原始项目中,确保开发者仍然掌握控制权。当某个关键软件包不再有活跃维护者时——这在志愿者运营的项目中很常见——Akrites 计划作为“最后的维护者”介入,并自行发布修复,让补丁能够及时覆盖所有用户。该倡议还计划与政府机构协调,使私人和公共防御力量步调一致。

种子资金来自 Linux Foundation 旗下的定向基金 Alpha-Omega。其他希望贡献工程资源或资金的组织也受邀加入。

#open-source-security#linux-foundation#ai-security#vulnerability-management#industry-initiative

来源与参考

  1. 原始链接
  2. Linux Foundation and 20 tech giants launch Akrites to fix open-source flaws before AI-powered attacks hit

收录于 2026-06-27