De Linux Foundation heeft donderdag Akrites gelanceerd, samen met 19 oprichtende organisaties – Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI en andere – om het patchen van kritieke open-source software te coördineren voordat door AI aangedreven aanvallers deze kunnen misbruiken.

Het initiatief pakt een tijdlijnprobleem aan dat AI urgent heeft gemaakt. Gevorderde modellen kunnen nu in enkele minuten een groot open-source project scannen en meerdere bevestigde kwetsbaarheden rapporteren – werk dat een ervaren beveiligingsonderzoeker voorheen weken zou kosten. Zoals Decrypt heeft gemeld, ontdekte Claude Opus 4.8 binnen één dag een kritieke kwetsbaarheid in de Orchard privacy pool van Zcash, waardoor een bug aan het licht kwam die vier jaar van cryptografische controle had overleefd.

Als ethische hackers deze kwetsbaarheden vinden, is alles in orde. Als kwaadwillende actoren dit doen, kan de situatie heel snel heel chaotisch worden. Jason Clinton, Adjunct CISO van Anthropic, stelde in de brief dat het bestaande model voor gecoördineerde openbaarmaking "is ingehaald door de snelheid waarmee AI nu kwetsbaarheden kan vinden" – en dat het bereiken van een upstream-oplossing coördinatie van bevindingen vereist "voordat ze openbaar worden gemaakt en misbruikt."

Het model voor gecoördineerde openbaarmaking dat Akrites voorafging, was niet gebouwd voor deze snelheid. Meerdere organisaties zouden onafhankelijk van elkaar dezelfde bibliotheken scannen en lange bureaucratische processen doorlopen voordat bugs werden opgelost – een proces dat in een open brief, ondertekend door alle 19 oprichtende organisaties, werd omschreven als het begraven van "de beheerders onder ruis".

Varun Badhwar, CEO van Endor Labs, ging verder: Van de duizenden gevalideerde open-source kwetsbaarheden die AI de afgelopen maanden heeft blootgelegd, "is minder dan 5% gepatcht".

Akrites vervangt dit proces door één enkel, vertrouwelijk Security Incident Response Team (SIRT) – één voorspelbare partner voor beheerders in plaats van een vloedgolf aan ongecoördineerde meldingen. Oplossingen worden teruggeplaatst in de oorspronkelijke repository van elk project, volgens de voorwaarden van de beheerders, en maken gebruik van standaarden voor het volgen van kwetsbaarheden. Wanneer een kritiek pakket geen actieve beheerder heeft, verbindt Akrites zich ertoe in te stappen als beheerder van het laatste redmiddel.

Het programma is allereerst opgezet om lekken te voorkomen – de open brief noemde een onbekende kwetsbaarheid in een veelgebruikt pakket "een wapen". Rebecca Rumbul, CEO van de Rust Foundation, zei dat de welwillendheid van open-source beheerders te lang als vanzelfsprekend is beschouwd en dat dit initiatief hen zal helpen om gecoördineerd te werken.

“Akrites belooft zinvolle coördinatie met upstream beheerders, financiële en fulltime ondersteuning om beveiligingskwetsbaarheden verantwoordelijk te vinden, te repareren en openbaar te maken, en een oprechte toewijding van de meest invloedrijke bedrijven in technologie en financiën om dit probleem op te lossen,” zei ze.

Pat Opet, CISO van JPMorganChase, schetste wat succes voor deze inspanning daadwerkelijk vereist. "AI heeft de tijd tussen de ontdekking en exploitatie van kwetsbaarheden enorm verkort tot vrijwel realtime," zei Opet – wat betekent dat tegenstanders een gepubliceerde patch kunnen reverse-engineeren en een werkende exploit kunnen bouwen voordat veel downstream systemen de oplossing hebben geïmplementeerd.

Succes, volgens Opet, is "patch-implementatie, niet patch-publicatie".

OpenAI had drie dagen voor Akrites zijn eigen parallelle initiatief, Patch the Planet, gelanceerd – een eerste sprint met GPT-5.5-Cyber en ingenieurs van Trail of Bits bij 19 open-source projecten die tientallen patches samenvoegden. Clint Gibler, Cyber Lead bij OpenAI, noemde het beveiligen van open-source "een langetermijnverbintenis" voor het bedrijf en zei dat Akrites helpt "de coördinatie in de hele sector te versterken".

Hoewel vergelijkbaar, verschillen de twee inspanningen in reikwijdte: Patch the Planet richt zich op AI-ondersteunde ontdekking en patchlevering met deskundige menselijke beoordeling; Akrites bouwt de coördinatielaag die gevalideerde bevindingen upstream door de hele sector stuurt.

Alpha-Omega, een door de Linux Foundation beheerd fonds, zal startfinanciering voor Akrites verstrekken. Het fonds heeft sinds 2022 meer dan 70 subsidies van in totaal meer dan $20 miljoen toegekend aan open-source beveiligingsprojecten. Andere organisaties kunnen zich aansluiten door technische middelen of financiering bij te dragen via akrites.org.