Agregação de Tags de Notícias Cripto e Conteúdo Temático

linux-foundation-tech-giants-akrites-defend-open-source-ai-attacks

Fundação Linux, Gigantes da Tecnologia Lançam Akrites para Defender o Código Aberto Contra Ataques Impulsionados por IA

Uma coalizão de 19 organizações—incluindo todos os principais laboratórios de IA e bancos de Wall Street—acabou de construir a equipe de segurança que os mantenedores de código aberto nunca tiveram.

2026-06-26 Fonte:decrypt.co

ZEC

Em resumo

A Linux Foundation lançou a Akrites na quinta-feira com 19 membros fundadores para coordenar a remediação de vulnerabilidades críticas de código aberto antes que atacantes habilitados por IA possam explorá-las.
Menos de 5% das milhares de vulnerabilidades de código aberto descobertas por IA nos últimos meses foram corrigidas, de acordo com Varun Badhwar, CEO da Endor Labs.
A Akrites foi projetada para fechar essa lacuna de coordenação.

A Linux Foundation lançou a Akrites na quinta-feira, juntamente com 19 organizações fundadoras—Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI e outras—para coordenar a correção de softwares de código aberto críticos antes que atacantes impulsionados por IA possam explorá-los.

A iniciativa aborda um problema de cronograma que a IA tornou urgente. Modelos de ponta agora podem escanear um grande projeto de código aberto e retornar múltiplas vulnerabilidades confirmadas em minutos—um trabalho que costumava levar semanas para um pesquisador de segurança experiente. Como a Decrypt noticiou, o Claude Opus 4.8 descobriu uma falha crítica no pool de privacidade Orchard da Zcash em um dia, expondo um bug que havia sobrevivido a quatro anos de revisão de criptógrafos.

Se hackers 'white hat' (éticos) encontrarem essas falhas, tudo bem. Se atores maliciosos o fizerem, as coisas podem ficar realmente complicadas, muito rapidamente. Jason Clinton, Vice-CISO da Anthropic, disse na carta que o modelo existente de divulgação coordenada "foi superado pela rapidez com que a IA agora pode encontrar vulnerabilidades"—e que alcançar uma correção 'upstream' (na origem) exige a coordenação das descobertas "antes que sejam divulgadas e exploradas".

O modelo de divulgação coordenada que antecedeu a Akrites não foi construído para essa velocidade. Múltiplas organizações escaneavam as mesmas bibliotecas independentemente e passavam por longos processos burocráticos antes de corrigir os bugs—um processo que uma carta aberta assinada pelas 19 organizações fundadoras chamou de 'soterrar os mantenedores sob ruído'.

Varun Badhwar, CEO da Endor Labs, foi além: Das milhares de vulnerabilidades de código aberto validadas que a IA descobriu nos últimos meses, "menos de 5% foram corrigidas".

A Akrites substitui esse processo por uma única e confidencial Equipe de Resposta a Incidentes de Segurança—um parceiro previsível para os mantenedores, em vez de uma enxurrada de relatórios descoordenados. As correções retornam ao repositório original de cada projeto nos termos dos mantenedores, usando padrões para rastreamento de vulnerabilidades. Quando um pacote crítico não tem um mantenedor ativo, a Akrites se compromete a atuar como mantenedora de último recurso.

O programa foi construído primeiramente para prevenir vazamentos—a carta aberta chamou uma falha não divulgada em um pacote amplamente implantado de 'uma arma'. Rebecca Rumbul, CEO da Rust Foundation, disse que a boa vontade dos mantenedores de código aberto tem sido dada como certa por muito tempo, e esta iniciativa os ajudará a trabalhar em coordenação.

“A Akrites promete coordenação significativa com os mantenedores 'upstream', suporte financeiro e em tempo integral para encontrar, corrigir e divulgar vulnerabilidades de segurança de forma responsável, e um compromisso genuíno das empresas mais influentes em tecnologia e finanças para resolver este problema”, disse ela.

Pat Opet, CISO do JPMorganChase, delineou o que o sucesso realmente exige para o esforço. "A IA comprimiu massivamente o tempo entre a descoberta e a exploração de vulnerabilidades para perto do tempo real", disse Opet—significando que os adversários podem fazer engenharia reversa de um patch publicado e construir um 'exploit' funcional antes que muitos sistemas 'downstream' (a jusante) tenham implantado a correção.

O sucesso, segundo Opet, é "a implantação do patch, não a publicação do patch".

A OpenAI havia lançado seu próprio esforço paralelo, Patch the Planet, três dias antes da Akrites—um primeiro sprint usando o GPT-5.5-Cyber e engenheiros da Trail of Bits em 19 projetos de código aberto que uniram dezenas de patches. Clint Gibler, Líder de Cibersegurança da OpenAI, chamou a proteção de código aberto de "um compromisso de longo prazo" para a empresa e disse que a Akrites ajuda a "fortalecer a coordenação em toda a indústria".

Embora semelhantes, os dois esforços diferem em escopo: Patch the Planet foca na descoberta assistida por IA e na entrega de patches com revisão humana especializada; a Akrites constrói a camada de coordenação que direciona as descobertas validadas 'upstream' (para a origem) em toda a indústria.

A Alpha-Omega, um fundo dirigido pela Linux Foundation, fornecerá financiamento inicial para a Akrites. O fundo concedeu mais de 70 doações totalizando mais de US$ 20 milhões para projetos de segurança de código aberto desde 2022. Outras organizações podem se juntar contribuindo com recursos de engenharia ou financiamento em akrites.org.