أطلقت مؤسسة لينكس (The Linux Foundation) مشروع أكريتيس (Akrites) يوم الخميس، بالتعاون مع 19 منظمة مؤسسة – منها أمازون (Amazon)، وأنثروبيك (Anthropic)، وسيتي (Citi)، وجوجل (Google)، وجيه بي مورجان تشيس (JPMorganChase)، ومايكروسوفت (Microsoft)، وإنفيديا (NVIDIA)، وأوبن إيه آي (OpenAI)، وغيرها – لتنسيق إصلاح البرمجيات مفتوحة المصدر الحرجة قبل أن يتمكن المهاجمون المدعومون بالذكاء الاصطناعي من استغلالها.

تعالج هذه المبادرة مشكلة زمنية جعلها الذكاء الاصطناعي ملحة. فبإمكان النماذج المتطورة الآن فحص مشروع كبير مفتوح المصدر والعثور على ثغرات أمنية مؤكدة متعددة في دقائق معدودة، وهو عمل كان يستغرق أسابيع لباحث أمني خبير. وكما ذكرت Decrypt، فقد كشف نموذج Claude Opus 4.8 عن عيب حرج في مجمع خصوصية أورشارد (Orchard) الخاص بـ Zcash في غضون يوم واحد، كاشفًا عن خطأ استمر أربع سنوات من مراجعة خبراء التشفير.

إذا عثر قراصنة القبعة البيضاء على هذه العيوب، فالأمر لا بأس به. ولكن إذا فعلها لاعبون خبيثون، فقد تتفاقم الأمور بسرعة كبيرة وبشكل فوضوي. قال جيسون كلينتون، نائب الرئيس التنفيذي لأمن المعلومات (CISO) في Anthropic، في الرسالة إن النموذج الحالي للإفصاح المنسق "تجاوزته السرعة التي يمكن للذكاء الاصطناعي بها الآن العثور على الثغرات الأمنية" — وأن التوصل إلى إصلاح في المنبع يتطلب التنسيق بشأن النتائج "قبل الكشف عنها واستغلالها."

لم يكن نموذج الإفصاح المنسق الذي سبق أكريتيس مصممًا لتلك السرعة. فقد كانت العديد من المنظمات تقوم بفحص نفس المكتبات بشكل مستقل وتمر بعمليات بيروقراطية طويلة قبل إصلاح الأخطاء — وهي عملية وصفتها رسالة مفتوحة وقعتها جميع المنظمات المؤسسة الـ 19 بأنها تدفن "القائمين على الصيانة تحت كومة من الضوضاء".

مضى فارون بادهوار، الرئيس التنفيذي لـ Endor Labs، أبعد من ذلك: فمن بين آلاف الثغرات الأمنية مفتوحة المصدر المؤكدة التي كشف عنها الذكاء الاصطناعي في الأشهر الأخيرة، "تم إصلاح أقل من 5% منها".

يستبدل أكريتيس هذه العملية بفريق استجابة للحوادث الأمنية سري وموثوق به – شريك واحد يمكن التنبؤ به للقائمين على الصيانة بدلاً من سيل من التقارير غير المنسقة. تعود الإصلاحات إلى المستودع الأصلي لكل مشروع وفقًا لشروط القائمين على الصيانة، باستخدام معايير لتتبع الثغرات الأمنية. وعندما لا يكون لدى حزمة حرجة قائم على الصيانة نشط، يلتزم أكريتيس بالتدخل بصفته القائم على الصيانة الأخير.

تم بناء البرنامج أولاً لمنع التسريبات — فقد وصفت الرسالة المفتوحة عيبًا غير مكشوف في حزمة منتشرة على نطاق واسع بأنه "سلاح". قالت ريبيكا رامبل، الرئيسة التنفيذية لمؤسسة Rust، إن النوايا الحسنة للقائمين على صيانة المصادر المفتوحة قد تم اعتبارها أمرًا مسلمًا به لفترة طويلة جدًا، وأن هذه المبادرة ستساعدهم على العمل بالتنسيق.

وقالت: "يعد أكريتيس بتنسيق هادف مع القائمين على الصيانة في المنبع، ودعم مالي وبدوام كامل للعثور على الثغرات الأمنية وإصلاحها والكشف عنها بمسؤولية، والتزام حقيقي من الشركات الأكثر تأثيرًا في مجالات التكنولوجيا والتمويل لحل هذه المشكلة".

أوجز بات أوبيت، الرئيس التنفيذي لأمن المعلومات في JPMorganChase، ما يتطلبه النجاح الحقيقي لهذا الجهد. قال أوبيت: "لقد قلص الذكاء الاصطناعي بشكل كبير الوقت بين اكتشاف الثغرات الأمنية واستغلالها ليصبح قريبًا من الوقت الفعلي" — مما يعني أن الخصوم يمكنهم إجراء هندسة عكسية للتصحيح المنشور وبناء استغلال فعال قبل أن تقوم العديد من الأنظمة النهائية بنشر الإصلاح.

النجاح، بحسب أوبيت، هو "نشر التصحيح، وليس نشره فقط".

أطلقت OpenAI جهدها الموازي الخاص بها، Patch the Planet، قبل ثلاثة أيام من أكريتيس — وهو سباق أولي باستخدام GPT-5.5-Cyber ومهندسي Trail of Bits عبر 19 مشروعًا مفتوح المصدر دمجت عشرات التصحيحات. وصف كلينت جيبلر، قائد الأمن السيبراني في OpenAI، تأمين المصادر المفتوحة بأنه "التزام طويل الأمد" للشركة، وقال إن أكريتيس يساعد على "تعزيز التنسيق عبر الصناعة".

على الرغم من التشابه، يختلف الجهدان في النطاق: يركز Patch the Planet على الاكتشاف بمساعدة الذكاء الاصطناعي وتسليم التصحيحات مع مراجعة بشرية متخصصة؛ بينما يبني أكريتيس طبقة التنسيق التي توجه النتائج المؤكدة في المنبع عبر الصناعة.

ستوفر Alpha-Omega، وهي صندوق تابع لمؤسسة لينكس، تمويلًا أوليًا لمشروع أكريتيس. وقد قدم الصندوق أكثر من 70 منحة بلغ مجموعها أكثر من 20 مليون دولار لمشاريع أمن المصادر المفتوحة منذ عام 2022. يمكن للمنظمات الأخرى الانضمام عن طريق المساهمة بموارد هندسية أو تمويل على موقع akrites.org.