Linux 基金會與產業領袖共同推出 Akrites,以抵禦 AI 驅動的網路威脅,保護關鍵開源軟體
亞馬遜網路服務 (AWS)、Anthropic、Chainguard、思科、花旗集團、Endor Labs、愛立信、谷歌、IBM、摩根大通、微軟、GitHub、英偉達、OpenAI、RapidFort、紅帽、Rust基金會、Sonatype、沃達豐和Zscaler等公司聯合發起了一項合作行動,旨在解決方案中的全球開放式軟體中公開行動。
概括
- Linux 基金會與多家領先組織今天宣布啟動 Akrites 項目,這是一項旨在修復和揭露關鍵開源軟體漏洞的協調行動。
- Akrites 建立了一個共享的安全事件回應團隊 (SIRT) 和一個單一的、標準化的協調漏洞揭露 (CVD) 流程,該流程以保密性為先的原則和行業標準工具為基礎。
- 創始成員投入工程人才、安全專業知識和資金,以加強銀行、醫院、電網、電信、政府和人工智慧實驗室所依賴的共享開源軟體。
- 為關鍵開源軟體的安全提供工程資源或資金的組織受邀參與,並可存取以下網址了解更多資訊:
舊金山,2026年6月25日/PRNewswire/ -- 致力於透過開源推動大規模創新的非營利組織Linux基金會今日宣布啟動Akrites項目,這是一項旨在加強全球最關鍵開源軟體安全性的行業合作計劃,以應對人工智慧輔助漏洞發現的時代。該計劃得到了亞馬遜網路服務(AWS)、Anthropic、Chainguard、思科、花旗集團、Endor Labs、愛立信、Google、IBM、摩根大通、微軟、GitHub、英偉達、OpenAI、RapidFort、紅帽、Rust基金會、Sonatype、沃達豐和Zscaler等眾多創始成員的支持,將各大科技公司、人工智慧實驗室、金融機構和安全廠商聯合起來,共同維護一個漏洞利用者在上游的漏洞被利用之前,
從銀行、醫療保健到能源、交通、電信和政府,開源軟體幾乎支撐著現代數位經濟的每個層面。 Akrites 致力於促進產業協調,為關鍵基礎設施使用者和開源軟體消費者提供支援和保護。過去,尋找和修復開源軟體中的嚴重漏洞需要攻擊者和防禦者俱備同等程度的專業知識。如今,前沿人工智慧模型可以在幾分鐘內掃描大型開源專案並發現漏洞。一旦這些功能被廣泛應用,那些以前缺乏發動複雜攻擊所需技術專長的惡意行為者將擁有快速實施攻擊的工具。
為紀念此次發布,創始簽署者們聯合發表了一封致科技業的公開信,題為《我們都依賴開源軟體。我們將共同捍衛它。 》。信件全文可在以下網址取得:
過去,安全回應往往由多個組織各自為政地處理相同的問題,有時甚至會發布相互衝突的補丁,或讓維護人員疲於應對重複的報告。 Akrites 改變了這種模式。該計劃提供了一個統一、可信賴的平台,用於協調、修復和揭露安全事件,共享的安全事件回應小組 (SIRT) 將成為維修人員可信賴的合作夥伴,而不是面對大量缺乏協調的報告。 Akrites 承諾與關鍵基礎設施合作,在易受攻擊的系統成為攻擊目標之前,支援修補程式的部署。
保密是這項工作的核心。漏洞修復程序會依照維護者的意願,回到每個專案的原始倉庫。如果某個關鍵軟體包沒有活躍的維護者,Arkrites 將作為最後的維護者,確保最新版本的修復程序能夠及時惠及所有人。該計劃還將與政府部門協調,使公共和私人防御者能夠攜手並進。
Linux 基金會旗下定向基金 Alpha-Omega 將為 Akrites 提供啟動資金。我們也邀請其他為關鍵開源軟體安全貢獻工程資源或資金的組織參與。了解更多或加入,請訪問 [連結]。
支持性引語
「Frontier AI 模型使安全人員能夠以前所未有的速度和規模發現並修復開源軟體中的漏洞。這對安全人員來說是一個巨大的機遇,而 Akrites 確保我們能夠共同把握這一機遇。維護者需要的是協調一致的合作夥伴關係,而不是鋪天蓋地的報告。AWS 致力於保護客戶所依賴的項目,並與社區共享這一項目,並與社區共享的項目。
——亞馬遜網路服務副總裁兼傑出工程師 Matt Wilson
「開源專案共同支撐著互聯網的很大一部分,而現有的協調披露模式已經無法跟上人工智能發現漏洞的速度。為了領先一步,業界需要協調發現的漏洞,並在漏洞被披露和利用之前將其修復到上游。像 Akrites 這樣的項目正在推動這種協調,使其達到當前所需的規模和速度。」
——傑森‧柯林頓,Anthropic公司副首席資訊安全官
「軟體供應鏈的強度取決於其上游的資源,而我們看到上游的資源實際上非常薄弱。隨著人工智慧發現更多漏洞,業界會爭相修復。如果沒有協調,這些修復程式將分散在不同的修補程式和分支中,而維護人員可能已經不堪重負、聯繫不上,或者多年未曾觸及某個專案。Akrites為業界提供了一種協調一致的方式,可以在漏洞被利用之前從上游修復它們,同時維護人員仍然能夠掌控局面。
——Chainguard執行長暨共同創辦人丹‧洛倫茨
「過去,專家需要花費數週時間才能發現一個嚴重的開源漏洞。現在,機器只需幾分鐘就能做到。如果維護者在這場競賽中落敗,那麼所有人都會受到影響。沒有任何一家公司、任何一位維護者,甚至任何一屆政府能夠獨自彌補這一差距。正因如此,思科才將其網路基礎設施、安全知識以及數十年來對開源專案的貢獻者
——思科旗下Outshift資深副總裁暨總經理Vijoy Pandey
「人工智慧模型的進步顯著降低了發現和利用漏洞所需的工作量。花旗集團與Linux基金會和Project Akrites合作,致力於支持開源生態系統,幫助構建一個能夠識別和修復漏洞並共享已提出補丁的框架。這項專注於保護關鍵基礎設施的舉措,是我們幫助業界應對新興威脅的關鍵組成部分。」
——花旗集團首席資訊安全長 Al Tarasiuk
多年來,我們一直認為發現漏洞並非難事,難的是修復漏洞。人工智慧的出現使這一差距不容忽視。近幾個月來,數千個經驗證的開源漏洞浮出水面,但只有不到 5% 的漏洞得到了修復。 Endor Labs 是 Akrites 的創始成員之一,因為 Akrites 正是為應對當前情況而構建的:在上游進行協調修復,以保密方式處理,並由維護者掌控,從而確保所有依賴該程式碼的用戶都能獲得一個可靠的修復方案。
——Varun Badhwar,Endor Labs執行長兼聯合創辦人
「漏洞發現的速度如今已經讓開源專案的維護者和依賴這些專案的用戶都應接不暇。缺乏協調的報告、修補程式和揭露造成了摩擦,使整個生態系統面臨風險。沒有任何一個組織能夠獨自解決這個問題。正因如此,愛立信作為高級成員加入 Akrites,貢獻資金和人才,共同努力確保開源軟體的安全和蓬勃發展。」
– Mikko Karikytö,愛立信首席產品安全官
「隨著人工智慧加速漏洞發現的規模和速度,保護開源生態系統需要同樣迅速且協調一致的回應。透過加入 Akrites,我們將谷歌對開源安全的長期承諾與業界的專業知識相結合,確保在漏洞被利用之前,就能發現、修復並負責任地披露這些漏洞。保護支撐全球關鍵基礎設施的軟體對於維護我們對數位未來的信任至關重要。」
——Heather Adkins,Google安全工程副總裁
「開源軟體為我們日常依賴的系統提供動力——從銀行和醫院到電網和人工智慧平台,無所不包。隨著前沿人工智慧加速漏洞發現,風險已經變得過於巨大,任何單一組織都無法獨自應對。因此,生態系統方法至關重要,它將社區、技術提供商和企業聚集在一起,以確保漏洞得到解決,並以當今所需的速度進行修復。」
——傑米‧湯瑪斯,IBM企業安全主管
「人工智慧已將漏洞發現和利用之間的時間大幅縮短至接近實時,這意味著我們必須縮短從修復到部署的時間。因此,摩根大通正在協助構建這項工作,以補丁部署而非補丁發布來衡量成功。我們支持一種機制,使下游關鍵基礎設施運營商能夠在攻擊者將披露的資訊轉化為攻擊之前,將修復程序部署到實際系統中。
——摩根大通首席資安長帕特‧奧佩特
「OpenSSF 和 Alpha-Omega 展示了業界攜手加強開源安全所能取得的成就。基於我們共同創立這些組織的經驗,Arkites 應運而生,旨在應對人工智慧驅動的漏洞發現和防禦這一新興轉折點。作為創始成員,微軟將貢獻專業知識、資源和軟體技術,以幫助負責任地識別和保護這個新轉折點。作為創始成員,微軟將貢獻專業知識、資源和軟體技術,以幫助負責識別和加密系統所依賴的人工智慧和軟體組織所依賴的軟體組織。
——微軟 Azure 技術長、副首席資訊安全長兼技術院士 Mark Russinovich
「透明度和開放協作是網路安全界數十年來保障基礎設施安全的關鍵所在。在人工智慧時代,這些開源基礎比以往任何時候都更加重要。開源人工智慧是美國創新的引擎,也是我們部署人工智慧的最強大工具之一,它能夠確保人工智慧在安全性、信任度和透明度方面的優勢,從而推動這場工業革命。」
——David Reber,NVIDIA首席安全官
「世界依靠開源軟體運行,而保障開源軟體的安全是 OpenAI 的一項長期承諾。透過 Patch the Planet 項目,我們將模型和資源投入到專家主導的工作中,幫助維護者驗證問題並修復漏洞。我們很榮幸能夠參與 Akrites 項目,以加強整個行業的協調,並幫助保護我們以生存的軟體。」
——Clint Gibler,OpenAI網路安全負責人
「開源只有在保持開放、上游且對所有依賴者都可用時才能真正發揮作用。應對人工智慧驅動的漏洞危機,並非將生態系統分割在專有壁壘之後,或是將社區基金會變成封閉產品。而必須採取協調一致的修復措施,既要維護原始軟體的完整性,又要與維護者合作,並將修復成果公之於眾支持 Akrites。計劃,這與我們致力於從內部加強開源生態系統的理念不謀而合,該計劃旨在幫助組織在不進行不必要的代碼更改的情況下降低風險,並使我們共享的軟體對每個人都更加安全。
– Mehran Farimani,RapidFort 首席執行官
「開源是現代軟體創新的基石。捍衛這一基石需要上游社區協調一致地做出響應,以大規模應對威脅。紅帽參與 Akrites 項目旨在加強這一上游生態系統。通過公開協作,從源頭識別和修復漏洞,我們幫助整個行業構建更具韌性的軟體供應鏈。”
——克里斯‧賴特,紅帽公司技術長暨全球工程資深副總裁
「長期以來,上游維護者的善意和責任感在安全響應流程中一直被視為理所當然。Arkrites承諾與上游維護者進行有效的協調,提供資金和全職支持,以負責任的方式發現、修復和披露安全漏洞,並承諾科技和金融領域最具影響力的公司將真正致力於解決這個問題。Rust基金會期待與Arkrites合作,共同開發面向未來的安全方案。」
——Rebecca Rumbul,Rust基金會執行董事兼首席執行官
「Sonatype每天都能看到現代世界的依賴關係圖。一個存在漏洞的組件可能影響成千上萬個組織,這意味著上游的一次修復就能降低整個生態系統的風險。人工智慧或許能極大地簡化漏洞發現,但它並不能實現協同修復的自動化。Akrites之所以重要,是因為它為業界提供了一種保密的方式,讓大家能夠在上游協同工作,成千上萬個獨立的活動。
– Brian Fox,Sonatype聯合創辦人兼技術官,Maven Central負責人
「隨著人工智慧在加速漏洞發現方面的能力日益增強,現在正是攜手合作、投入資源保護電信及其他眾多行業賴以生存的關鍵開源軟體的最佳時機。作為創始成員,沃達豐已向 Akrites 投入了專業知識和資金。這項統一的倡議將推動全行業採取協調一致的方式,負責任地識別和修復運行著世界賴以生存的系統的軟體漏洞。」
——沃達豐網路與IT策略及架構總監保羅·霍普金斯
「人工智慧改變了攻防的速度。漏洞現在可以以機器的速度被發現,這意味著防御者也必須以同樣的速度行動。Akrites 通過更早地發現問題、負責任地協調修復工作並將修復程序推送到上游,幫助開源生態系統將這種速度優勢轉化為自身優勢。Zscaler 很榮幸能參與其中。”
——Zscaler執行副總裁兼首席安全長Deepen Desai
關於阿克里特斯
Akrites 是一項協調一致的保密行動,旨在修復和揭露關鍵基礎設施所依賴的開源軟體中的漏洞。它提供了一個統一的、標準化的協調漏洞揭露 (CVD) 流程,由一個共享的安全事件回應團隊 (SIRT) 負責運營,該流程基於保密至上的原則以及業界既定的標準和工具(CVE、TLP、CWE、CVSS、EPSS、SSVC、VEX)。如欲了解更多資訊或加入 Akrites,請造訪 [網站地址]。
關於 Linux 基金會
Linux 基金會是全球領先的開源軟體、硬體、標準和資料協作平台。 Linux 基金會的項目,包括 Linux、Kubernetes、模型上下文協定 (MCP)、OpenChain、OpenSearch、OpenSSF、OpenStack、PyTorch、Ray、RISC-V、SPDX 和 Zephyr,為全球基礎設施奠定了基礎。 Linux 基金會致力於借鑒最佳實踐,並滿足貢獻者、使用者和解決方案提供者的需求,從而建立可持續的開放協作模式。欲了解更多信息,請訪問 linuxfoundation.org。
Linux 基金會擁有註冊商標並使用商標。有關 Linux 基金會商標的列表,請參閱其商標使用頁面:。 Linux 是 Linus Torvalds 的註冊商標。
媒體聯絡人
Linux 基金會
[email protected]
資料來源:Linux 基金會