Linux Foundation uruchomiła w czwartek Akrites wraz z 19 organizacjami założycielskimi — Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI i innymi — aby koordynować łatanie krytycznego oprogramowania open-source, zanim atakujący wspomagani przez AI będą mogli je wykorzystać.

Inicjatywa ta zajmuje się problemem czasu, który AI uczyniła pilnym. Modele graniczne mogą teraz skanować duży projekt open-source i zwracać wiele potwierdzonych luk w ciągu kilku minut — pracę, która wcześniej zajmowała wykwalifikowanemu badaczowi bezpieczeństwa tygodnie. Jak donosi Decrypt, Claude Opus 4.8 wykrył krytyczną lukę w puli prywatności Orchard Zcash w ciągu jednego dnia, ujawniając błąd, który przetrwał cztery lata przeglądów kryptografów.

Jeśli luki znajdą hakerzy white hat, wszystko jest w porządku. Jeśli zrobią to złośliwi aktorzy, sprawy mogą potoczyć się naprawdę chaotycznie i bardzo szybko. Jason Clinton, zastępca CISO w Anthropic, powiedział w liście, że istniejący model skoordynowanego ujawniania "został wyprzedzony przez szybkość, z jaką AI może teraz znajdować luki" — i że osiągnięcie poprawki "upstream" wymaga koordynacji w zakresie ustaleń "zanim zostaną ujawnione i wykorzystane".

Model skoordynowanego ujawniania, który poprzedzał Akrites, nie był stworzony dla takiej prędkości. Wiele organizacji niezależnie skanowało te same biblioteki i przechodziło przez długie biurokratyczne procesy, zanim naprawiło błędy — proces, który otwarty list podpisany przez wszystkie 19 organizacji założycielskich nazwał zasypywaniem "opiekunów szumem".

Varun Badhwar, CEO Endor Labs, poszedł dalej: Z tysięcy zweryfikowanych luk w otwartym kodzie źródłowym, które AI ujawniła w ostatnich miesiącach, "mniej niż 5% zostało załatanych".

Akrites zastępuje ten proces jednym, poufnym Zespołem Reagowania na Incydenty Bezpieczeństwa — jednym przewidywalnym partnerem dla opiekunów, zamiast zalewu nieskoordynowanych raportów. Poprawki wracają do oryginalnego repozytorium każdego projektu na warunkach opiekunów, z wykorzystaniem standardów śledzenia luk. Gdy krytyczny pakiet nie ma aktywnego opiekuna, Akrites zobowiązuje się do przejęcia roli opiekuna ostatniej instancji.

Program został stworzony przede wszystkim, aby zapobiec wyciekom — otwarty list nazwał nieujawnioną lukę w szeroko stosowanym pakiecie "bronią". Rebecca Rumbul, CEO Rust Foundation, powiedziała, że dobra wola opiekunów open-source zbyt długo była traktowana jako coś oczywistego, a ta inicjatywa pomoże im w skoordynowanej pracy.

„Akrites obiecuje znaczącą koordynację z opiekunami upstream, wsparcie finansowe i w pełnym wymiarze czasu na odpowiedzialne znajdowanie, naprawianie i ujawnianie luk w zabezpieczeniach, a także prawdziwe zaangażowanie najbardziej wpływowych firm z branży technologicznej i finansowej w rozwiązanie tego problemu” – powiedziała.

Pat Opet, CISO JPMorganChase, nakreślił, czego tak naprawdę wymaga sukces tego przedsięwzięcia. „AI masowo skróciła czas między odkryciem luki a jej wykorzystaniem do niemal rzeczywistego czasu” — powiedział Opet — co oznacza, że przeciwnicy mogą przeprowadzić inżynierię wsteczną opublikowanej poprawki i stworzyć działający exploit, zanim wiele systemów „downstream” wdroży poprawkę.

Sukces, według Opeta, to „wdrożenie poprawki, a nie jej publikacja”.

OpenAI uruchomiło swój własny, równoległy projekt, Patch the Planet, na trzy dni przed Akrites — pierwszy sprint wykorzystujący GPT-5.5-Cyber i inżynierów Trail of Bits w 19 projektach open-source, który połączył dziesiątki poprawek. Clint Gibler, szef ds. cyberbezpieczeństwa w OpenAI, nazwał zabezpieczanie open source „długoterminowym zobowiązaniem” dla firmy i powiedział, że Akrites pomaga „wzmocnić koordynację w całej branży”.

Mimo podobieństw, te dwa przedsięwzięcia różnią się zakresem: Patch the Planet koncentruje się na odkrywaniu wspomaganym przez AI i dostarczaniu poprawek z ekspercką recenzją ludzką; Akrites buduje warstwę koordynacyjną, która kieruje zweryfikowane ustalenia upstream w całej branży.

Alpha-Omega, fundusz kierowany przez Linux Foundation, zapewni finansowanie początkowe dla Akrites. Fundusz ten przyznał ponad 70 dotacji o łącznej wartości ponad 20 milionów dolarów na projekty bezpieczeństwa open-source od 2022 roku. Inne organizacje mogą dołączyć, wnosząc zasoby inżynierskie lub finansowe na stronie akrites.org.