La Linux Foundation a lancé Akrites jeudi, aux côtés de 19 organisations fondatrices — Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI, et d'autres — afin de coordonner l'application de correctifs aux logiciels open source critiques avant que des attaquants alimentés par l'IA ne puissent les exploiter.

L'initiative s'attaque à un problème de calendrier rendu urgent par l'IA. Les modèles de pointe peuvent désormais analyser un projet open source majeur et identifier plusieurs vulnérabilités confirmées en quelques minutes — un travail qui prenait autrefois des semaines à un chercheur en sécurité expérimenté. Comme Decrypt l'a rapporté, Claude Opus 4.8 a découvert en une journée une faille critique dans le pool de confidentialité Orchard de Zcash, exposant un bug qui avait survécu à quatre ans d'examen par des cryptographes.

Si des hackers éthiques trouvent ces failles, tout va bien. Si des acteurs malveillants le font, les choses peuvent devenir très compliquées, très vite. Jason Clinton, CISO adjoint d'Anthropic, a déclaré dans la lettre que le modèle existant de divulgation coordonnée "a été dépassé par la rapidité avec laquelle l'IA peut désormais trouver des vulnérabilités" — et que parvenir à une correction en amont nécessite de coordonner les découvertes "avant qu'elles ne soient divulguées et exploitées".

Le modèle de divulgation coordonnée qui a précédé Akrites n'était pas conçu pour une telle rapidité. Plusieurs organisations scannaient indépendamment les mêmes bibliothèques et passaient par de longs processus bureaucratiques avant de corriger les bugs — un processus qu'une lettre ouverte signée par les 19 organisations fondatrices a qualifié de "submerger les mainteneurs sous le bruit".

Varun Badhwar, PDG d'Endor Labs, est allé plus loin : sur les milliers de vulnérabilités open source validées que l'IA a détectées ces derniers mois, "moins de 5 % ont été corrigées".

Akrites remplace ce processus par une Équipe d'intervention en cas d'incident de sécurité (SIRT) unique et confidentielle — un partenaire prévisible pour les mainteneurs plutôt qu'un déluge de rapports non coordonnés. Les correctifs sont réintégrés au dépôt original de chaque projet selon les conditions des mainteneurs, en utilisant des standards pour le suivi des vulnérabilités. Lorsqu'un paquet critique n'a pas de mainteneur actif, Akrites s'engage à intervenir en tant que mainteneur de dernier recours.

Le programme a été conçu avant tout pour prévenir les fuites — la lettre ouverte a qualifié une faille non divulguée dans un paquet largement déployé d'"arme". Rebecca Rumbul, PDG de la Rust Foundation, a déclaré que la bonne volonté des mainteneurs open source a été trop longtemps tenue pour acquise et que cette initiative les aidera à travailler en coordination.

« Akrites promet une coordination significative avec les mainteneurs en amont, un soutien financier et à temps plein pour trouver, corriger et divulguer les vulnérabilités de sécurité de manière responsable, ainsi qu'un engagement sincère de la part des entreprises les plus influentes de la technologie et de la finance pour résoudre ce problème », a-t-elle déclaré.

Pat Opet, CISO de JPMorganChase, a décrit ce que le succès exige réellement pour cet effort. « L'IA a massivement réduit le temps entre la découverte d'une vulnérabilité et son exploitation à un quasi-temps réel », a déclaré Opet — ce qui signifie que les adversaires peuvent rétro-ingénierer un correctif publié et construire un exploit fonctionnel avant que de nombreux systèmes en aval n'aient déployé la correction.

Le succès, selon Opet, est le « déploiement du correctif, pas la publication du correctif ».

OpenAI avait lancé son propre effort parallèle, Patch the Planet, trois jours avant Akrites — un premier sprint utilisant GPT-5.5-Cyber et des ingénieurs de Trail of Bits sur 19 projets open source qui a fusionné des dizaines de correctifs. Clint Gibler, responsable cyber d'OpenAI, a qualifié la sécurisation de l'open source d'"engagement à long terme" pour l'entreprise et a déclaré qu'Akrites contribue à "renforcer la coordination à travers l'industrie".

Bien que similaires, les deux efforts diffèrent par leur portée : Patch the Planet se concentre sur la découverte assistée par l'IA et la livraison de correctifs avec un examen humain expert ; Akrites construit la couche de coordination qui achemine les découvertes validées en amont à travers l'industrie.

Alpha-Omega, un fonds dirigé par la Linux Foundation, fournira un financement de démarrage à Akrites. Le fonds a accordé plus de 70 subventions totalisant plus de 20 millions de dollars à des projets de sécurité open source depuis 2022. D'autres organisations peuvent adhérer en contribuant des ressources d'ingénierie ou des financements sur akrites.org.