Linux Foundation meluncurkan Akrites pada hari Kamis bersama 19 organisasi pendiri—Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI, dan lainnya—untuk mengoordinasikan penambalan perangkat lunak sumber terbuka yang kritis sebelum penyerang bertenaga AI dapat mengeksploitasinya.

Inisiatif ini mengatasi masalah waktu yang telah menjadi mendesak berkat AI. Model-model frontier kini dapat memindai proyek sumber terbuka besar dan mengembalikan beberapa kerentanan yang dikonfirmasi dalam hitungan menit—pekerjaan yang dulunya membutuhkan waktu berminggu-minggu bagi peneliti keamanan yang terampil. Seperti yang dilaporkan Decrypt, Claude Opus 4.8 menemukan celah kritis dalam pool privasi Orchard milik Zcash dalam sehari, mengungkap bug yang telah bertahan empat tahun tinjauan kriptografer.

Jika peretas topi putih menemukan celah-celah tersebut, semuanya baik-baik saja. Jika aktor jahat yang menemukannya, segalanya bisa menjadi sangat kacau, dengan sangat cepat. Wakil CISO Anthropic Jason Clinton mengatakan dalam surat tersebut bahwa model pengungkapan terkoordinasi yang ada "telah kalah cepat dengan seberapa cepat AI kini dapat menemukan kerentanan"—dan bahwa mencapai perbaikan di bagian hulu (upstream) memerlukan koordinasi temuan "sebelum diungkapkan dan dieksploitasi."

Model pengungkapan terkoordinasi yang ada sebelum Akrites tidak dibangun untuk kecepatan tersebut. Beberapa organisasi akan secara independen memindai pustaka yang sama dan melalui proses birokrasi yang panjang sebelum memperbaiki bug—sebuah proses yang disebut "mengubur para pemelihara di bawah kebisingan" oleh surat terbuka yang ditandatangani oleh semua 19 organisasi pendiri.

CEO Endor Labs Varun Badhwar bahkan menambahkan: Dari ribuan kerentanan sumber terbuka yang divalidasi yang telah ditemukan AI dalam beberapa bulan terakhir, "kurang dari 5% telah ditambal."

Akrites menggantikan proses tersebut dengan satu Tim Tanggap Insiden Keamanan (Security Incident Response Team) yang rahasia—satu mitra yang dapat diandalkan untuk para pemelihara daripada banjir laporan yang tidak terkoordinasi. Perbaikan kembali ke repositori asli setiap proyek berdasarkan persyaratan pemelihara, menggunakan standar untuk pelacakan kerentanan. Ketika sebuah paket kritis tidak memiliki pemelihara aktif, Akrites berkomitmen untuk bertindak sebagai pemelihara pilihan terakhir.

Program ini dibangun pertama-tama untuk mencegah kebocoran—surat terbuka itu menyebut celah yang tidak diungkapkan dalam paket yang banyak digunakan sebagai "senjata." CEO Rust Foundation Rebecca Rumbul mengatakan bahwa niat baik para pemelihara sumber terbuka telah terlalu lama dianggap remeh dan inisiatif ini akan membantu mereka bekerja secara terkoordinasi.

“Akrites menjanjikan koordinasi yang berarti dengan pemelihara upstream, dukungan finansial dan penuh waktu untuk menemukan, memperbaiki, dan mengungkapkan kerentanan keamanan secara bertanggung jawab, serta komitmen tulus dari perusahaan-perusahaan paling berpengaruh di bidang teknologi dan keuangan untuk menyelesaikan masalah ini,” katanya.

CISO JPMorganChase Pat Opet menguraikan apa yang sebenarnya dibutuhkan untuk mencapai keberhasilan upaya tersebut. "AI telah sangat mempersingkat waktu antara penemuan kerentanan dan eksploitasi menjadi hampir real-time," kata Opet—yang berarti musuh dapat merekayasa balik tambalan yang dipublikasikan dan membangun eksploitasi yang berfungsi sebelum banyak sistem hilir menerapkan perbaikan tersebut.

Keberhasilan, menurut Opet, adalah "penyebaran tambalan, bukan publikasi tambalan."

OpenAI telah meluncurkan upaya paralelnya sendiri, Patch the Planet, tiga hari sebelum Akrites—sebuah sprint pertama menggunakan GPT-5.5-Cyber dan insinyur Trail of Bits di 19 proyek sumber terbuka yang menggabungkan lusinan tambalan. Pemimpin Cyber OpenAI Clint Gibler menyebut pengamanan sumber terbuka sebagai "komitmen jangka panjang" bagi perusahaan dan mengatakan Akrites membantu "memperkuat koordinasi di seluruh industri."

Meskipun serupa, kedua upaya tersebut berbeda dalam cakupan: Patch the Planet berfokus pada penemuan yang dibantu AI dan pengiriman tambalan dengan tinjauan ahli manusia; Akrites membangun lapisan koordinasi yang mengarahkan temuan yang divalidasi ke hulu (upstream) di seluruh industri.

Alpha-Omega, dana yang diarahkan oleh Linux Foundation, akan menyediakan pendanaan awal untuk Akrites. Dana tersebut telah memberikan lebih dari 70 hibah senilai lebih dari $20 juta untuk proyek-proyek keamanan sumber terbuka sejak 2022. Organisasi lain dapat bergabung dengan menyumbangkan sumber daya teknik atau pendanaan di akrites.org.