بنیاد لینوکس (The Linux Foundation) روز پنجشنبه اکریتس (Akrites) را به همراه ۱۹ سازمان موسس – آمازون، آنتروپیک، سیتی، گوگل، جی‌پی‌مورگان چیس، مایکروسافت، انویدیا، اوپن‌ای‌آی و دیگران – راه‌اندازی کرد تا وصله کردن نرم‌افزارهای حیاتی متن‌باز را قبل از اینکه مهاجمان مجهز به هوش مصنوعی بتوانند از آن‌ها سوءاستفاده کنند، هماهنگ سازد.

این ابتکار به مشکل زمانی می‌پردازد که هوش مصنوعی آن را اضطراری کرده است. مدل‌های پیشرفته اکنون می‌توانند یک پروژه متن‌باز بزرگ را اسکن کرده و چندین آسیب‌پذیری تایید شده را در عرض چند دقیقه شناسایی کنند – کاری که قبلاً برای یک محقق امنیتی ماهر هفته‌ها زمان می‌برد. همانطور که Decrypt گزارش داده است، کلود اپوس ۴.۸ (Claude Opus 4.8) در عرض یک روز یک نقص حیاتی را در پول حریم خصوصی ارچارد (Orchard privacy pool) در زی‌کش (Zcash) کشف کرد، و باگی را فاش نمود که چهار سال بررسی توسط رمزنگاران را پشت سر گذاشته بود.

اگر هکرهای کلاه سفید این نقص‌ها را پیدا کنند، همه چیز خوب است. اما اگر بازیگران مخرب این کار را انجام دهند، اوضاع می‌تواند به سرعت و به شدت آشفته شود. جیسون کلینتون (Jason Clinton)، معاون CISO آنتروپیک، در این نامه گفت که مدل موجود برای افشای هماهنگ "از سرعت کشف آسیب‌پذیری‌ها توسط هوش مصنوعی پیشی گرفته است" – و دستیابی به یک راه‌حل در بالادست (upstream) مستلزم هماهنگی در مورد یافته‌ها "قبل از افشا و بهره‌برداری از آن‌ها" است.

مدل افشای هماهنگ که قبل از اکریتس وجود داشت، برای این سرعت ساخته نشده بود. سازمان‌های متعدد به طور مستقل کتابخانه‌های یکسان را اسکن می‌کردند و قبل از رفع باگ‌ها، مراحل بوروکراتیک طولانی را طی می‌کردند – فرآیندی که یک نامه سرگشاده امضا شده توسط ۱۹ سازمان موسس، آن را "دفن کردن نگه‌دارندگان زیر سر و صدا" نامید.

وارون بدوار، مدیر عامل Endor Labs، پا را فراتر گذاشت: از هزاران آسیب‌پذیری متن‌باز تایید شده که هوش مصنوعی در ماه‌های اخیر کشف کرده است، "کمتر از ۵٪ وصله شده‌اند."

اکریتس این فرآیند را با یک تیم واکنش به حوادث امنیتی (Security Incident Response Team) واحد و محرمانه جایگزین می‌کند – یک شریک قابل پیش‌بینی برای نگه‌دارندگان به جای سیلی از گزارش‌های ناهماهنگ. اصلاحات با شرایط نگه‌دارندگان و با استفاده از استانداردهای ردیابی آسیب‌پذیری، به مخزن اصلی هر پروژه بازمی‌گردند. هنگامی که یک بسته حیاتی هیچ نگه‌دارنده فعالی ندارد، اکریتس متعهد می‌شود که به عنوان نگه‌دارنده چاره آخر (last resort) وارد عمل شود.

این برنامه در ابتدا برای جلوگیری از افشاگری‌ها ساخته شد – نامه سرگشاده، یک نقص افشا نشده در یک بسته پرکاربرد را "یک سلاح" نامید. ربکا رامبول (Rebecca Rumbul)، مدیر عامل بنیاد راست (Rust Foundation)، گفت که حسن نیت نگه‌دارندگان متن‌باز برای مدت طولانی نادیده گرفته شده است و این ابتکار به آن‌ها کمک خواهد کرد تا به صورت هماهنگ کار کنند.

او گفت: "اکریتس هماهنگی معنادار با نگه‌دارندگان بالادستی (upstream maintainers)، حمایت مالی و تمام وقت برای یافتن، رفع و افشای مسئولانه آسیب‌پذیری‌های امنیتی، و تعهدی واقعی از سوی تأثیرگذارترین شرکت‌ها در سراسر حوزه فناوری و مالی برای حل این مشکل را وعده می‌دهد."

پت اوپت (Pat Opet)، CISO جی‌پی‌مورگان چیس، آنچه را که موفقیت برای این تلاش واقعاً نیاز دارد، تشریح کرد. اوپت گفت: "هوش مصنوعی زمان بین کشف آسیب‌پذیری و بهره‌برداری را تا حد زیادی به زمان واقعی فشرده کرده است" – به این معنی که مهاجمان می‌توانند یک وصله منتشر شده را مهندسی معکوس کرده و یک اکسپلویت (exploit) کاربردی را قبل از اینکه بسیاری از سیستم‌های پایین‌دستی (downstream systems) این اصلاحیه را اعمال کنند، بسازند.

موفقیت، به گفته اوپت، "استقرار وصله است، نه انتشار وصله".

اوپن‌ای‌آی (OpenAI) سه روز قبل از اکریتس، تلاش موازی خود به نام Patch the Planet را راه‌اندازی کرده بود – یک اسپرینت (sprint) اولیه با استفاده از GPT-5.5-Cyber و مهندسان Trail of Bits در ۱۹ پروژه متن‌باز که ده‌ها وصله را ادغام کرد. کلینت گیبلر (Clint Gibler)، مدیر امنیت سایبری اوپن‌ای‌آی، تأمین امنیت متن‌باز را "تعهدی بلندمدت" برای این شرکت خواند و گفت که اکریتس به "تقویت هماهنگی در سراسر صنعت" کمک می‌کند.

اگرچه مشابه هستند، این دو تلاش در دامنه متفاوتند: Patch the Planet بر کشف و تحویل وصله با کمک هوش مصنوعی و بررسی کارشناسی انسانی تمرکز دارد؛ اکریتس لایه هماهنگی را ایجاد می‌کند که یافته‌های تایید شده را در سراسر صنعت به بالادست (upstream) هدایت می‌کند.

آلفا-امگا (Alpha-Omega)، یک صندوق تحت مدیریت بنیاد لینوکس، بودجه اولیه اکریتس را فراهم خواهد کرد. این صندوق از سال ۲۰۲۲ تاکنون بیش از ۷۰ کمک مالی به ارزش بیش از ۲۰ میلیون دلار به پروژه‌های امنیتی متن‌باز اختصاص داده است. سازمان‌های دیگر می‌توانند با مشارکت منابع مهندسی یا بودجه از طریق akrites.org به این ابتکار بپیوندند.