La Fundación Linux lanzó Akrites el jueves junto a 19 organizaciones fundadoras—Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI, y otras—para coordinar la aplicación de parches al software de código abierto crítico antes de que atacantes impulsados por IA puedan explotarlo.

La iniciativa aborda un problema de plazos que la IA ha vuelto urgente. Los modelos avanzados ahora pueden escanear un proyecto importante de código abierto y devolver múltiples vulnerabilidades confirmadas en minutos, un trabajo que antes tomaba semanas a un investigador de seguridad experto. Como ha informado Decrypt, Claude Opus 4.8 descubrió una falla crítica en el pool de privacidad Orchard de Zcash en un día, exponiendo un error que había sobrevivido a cuatro años de revisión por criptógrafos.

Si los hackers de sombrero blanco encuentran esas fallas, todo está bien. Si lo hacen actores maliciosos, las cosas pueden volverse realmente complicadas, muy rápido. Jason Clinton, CISO Adjunto de Anthropic, dijo en la carta que el modelo existente de divulgación coordinada "ha sido superado por la rapidez con la que la IA ahora puede encontrar vulnerabilidades"—y que alcanzar una solución en la fuente requiere coordinar los hallazgos "antes de que sean divulgados y explotados."

El modelo de divulgación coordinada que precedió a Akrites no fue construido para esa velocidad. Múltiples organizaciones escanearían independientemente las mismas bibliotecas y pasarían por largos procesos burocráticos antes de corregir errores, un proceso que una carta abierta firmada por las 19 organizaciones fundadoras llamó "enterrar a los mantenedores bajo ruido."

Varun Badhwar, CEO de Endor Labs, fue más allá: De las miles de vulnerabilidades de código abierto validadas que la IA ha descubierto en los últimos meses, "menos del 5% han sido parcheadas."

Akrites reemplaza ese proceso con un único y confidencial Equipo de Respuesta a Incidentes de Seguridad—un socio predecible para los mantenedores en lugar de una avalancha de informes descoordinados. Las soluciones regresan al repositorio original de cada proyecto bajo los términos de los mantenedores, utilizando estándares para el seguimiento de vulnerabilidades. Cuando un paquete crítico no tiene un mantenedor activo, Akrites se compromete a intervenir como mantenedor de último recurso.

El programa se construyó primero para prevenir filtraciones; la carta abierta calificó una falla no revelada en un paquete ampliamente desplegado como "un arma". Rebecca Rumbul, CEO de Rust Foundation, dijo que la buena voluntad de los mantenedores de código abierto ha sido dada por sentada durante demasiado tiempo y que esta iniciativa les ayudará a trabajar en coordinación.

“Akrites promete una coordinación significativa con los mantenedores upstream, apoyo financiero y a tiempo completo para encontrar, corregir y divulgar vulnerabilidades de seguridad de manera responsable, y un compromiso genuino de las empresas más influyentes en tecnología y finanzas para resolver este problema”, dijo ella.

Pat Opet, CISO de JPMorganChase, describió lo que realmente requiere el éxito para este esfuerzo. "La IA ha comprimido masivamente el tiempo entre el descubrimiento de una vulnerabilidad y su explotación a un tiempo casi real", dijo Opet, lo que significa que los adversarios pueden realizar ingeniería inversa en un parche publicado y construir un exploit funcional antes de que muchos sistemas descendentes hayan implementado la corrección.

El éxito, según Opet, es "el despliegue del parche, no la publicación del parche."

OpenAI había lanzado su propio esfuerzo paralelo, Patch the Planet, tres días antes de Akrites, un primer sprint utilizando GPT-5.5-Cyber e ingenieros de Trail of Bits en 19 proyectos de código abierto que fusionó docenas de parches. Clint Gibler, Líder de Ciberseguridad de OpenAI, calificó la seguridad del código abierto como "un compromiso a largo plazo" para la compañía y dijo que Akrites ayuda a "fortalecer la coordinación en toda la industria."

Aunque similares, los dos esfuerzos difieren en alcance: Patch the Planet se enfoca en el descubrimiento asistido por IA y la entrega de parches con revisión humana experta; Akrites construye la capa de coordinación que encauza los hallazgos validados a la fuente en toda la industria.

Alpha-Omega, un fondo dirigido por la Fundación Linux, proporcionará financiación inicial para Akrites. El fondo ha otorgado más de 70 subvenciones por un total superior a los 20 millones de dólares a proyectos de seguridad de código abierto desde 2022. Otras organizaciones pueden unirse contribuyendo con recursos de ingeniería o financiación en akrites.org.