Fundația Linux a lansat Akrites joi, alături de 19 organizații fondatoare—Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI și altele—pentru a coordona remedierea software-ului open-source critic înainte ca atacatorii alimentați de AI să îl poată exploata.

Inițiativa abordează o problemă de sincronizare pe care AI-ul a făcut-o urgentă. Modelele avansate pot acum scana un proiect open-source major și pot returna multiple vulnerabilități confirmate în câteva minute—o muncă ce înainte îi lua unui cercetător de securitate calificat săptămâni. Așa cum a raportat Decrypt, Claude Opus 4.8 a descoperit o vulnerabilitate critică în pool-ul de confidențialitate Orchard al Zcash în decurs de o zi, expunând o eroare care a supraviețuit patru ani de revizuire criptografică.

Dacă hackerii etici (white hat) găsesc aceste vulnerabilități, totul este în regulă. Dacă actorii malițioși o fac, lucrurile pot deveni foarte complicate, foarte repede. Jason Clinton, CISO adjunct la Anthropic, a declarat în scrisoare că modelul existent pentru divulgarea coordonată "a fost depășit de viteza cu care AI poate găsi acum vulnerabilități"—și că obținerea unei soluții în amonte necesită coordonarea constatărilor "înainte ca acestea să fie divulgate și exploatate."

Modelul de divulgare coordonată care a precedat Akrites nu a fost construit pentru o astfel de viteză. Multiple organizații scanau independent aceleași biblioteci și parcurgeau procese birocratice lungi înainte de a remedia erorile—un proces pe care o scrisoare deschisă semnată de toate cele 19 organizații fondatoare l-a numit copleșind "menținătorii sub un val de informații."

CEO-ul Endor Labs, Varun Badhwar, a mers mai departe: dintre miile de vulnerabilități open-source validate pe care AI le-a descoperit în ultimele luni, "mai puțin de 5% au fost remediate."

Akrites înlocuiește acest proces cu o singură Echipă Confidențială de Răspuns la Incidente de Securitate—un partener previzibil pentru menținători, în locul unui potop de rapoarte necoordonate. Corecțiile revin la depozitul original al fiecărui proiect în condițiile menținătorilor, utilizând standarde pentru urmărirea vulnerabilităților. Atunci când un pachet critic nu are un menținător activ, Akrites se angajează să intervină ca menținător de ultimă instanță.

Programul a fost construit inițial pentru a preveni scurgerile—scrisoarea deschisă a numit o vulnerabilitate nedezvăluită într-un pachet larg implementat "o armă." CEO-ul Rust Foundation, Rebecca Rumbul, a declarat că buna-credință a menținătorilor open-source a fost prea mult timp considerată un lucru dat și că această inițiativă îi va ajuta să lucreze în coordonare.

„Akrites promite o coordonare semnificativă cu menținătorii upstream, suport financiar și cu normă întreagă pentru a găsi, remedia și divulga vulnerabilitățile de securitate în mod responsabil, și un angajament autentic din partea celor mai influente companii din tehnologie și finanțe de a rezolva această problemă,” a spus ea.

Pat Opet, CISO la JPMorganChase, a subliniat ce este necesar pentru succesul efortului. „AI a comprimat masiv timpul dintre descoperirea și exploatarea vulnerabilităților la aproape în timp real,” a spus Opet—ceea ce înseamnă că adversarii pot face inginerie inversă pe o corecție publicată și pot construi un exploit funcțional înainte ca multe sisteme din aval să fi implementat soluția.

Succesul, conform lui Opet, înseamnă „implementarea corecției, nu publicarea corecției.”

OpenAI lansase propriul efort paralel, Patch the Planet, cu trei zile înainte de Akrites—un prim sprint utilizând ingineri GPT-5.5-Cyber și Trail of Bits pentru 19 proiecte open-source care au integrat zeci de corecții. Clint Gibler, Cyber Lead la OpenAI, a numit securizarea open source-ului „un angajament pe termen lung” pentru companie și a declarat că Akrites ajută la „întărirea coordonării la nivelul industriei.”

Deși similare, cele două eforturi diferă ca anvergură: Patch the Planet se concentrează pe descoperirea asistată de AI și livrarea corecțiilor cu revizuire umană de către experți; Akrites construiește stratul de coordonare care rutează constatările validate în amonte la nivelul industriei.

Alpha-Omega, un fond administrat de Fundația Linux, va asigura finanțarea inițială pentru Akrites. Fondul a acordat peste 70 de granturi în valoare totală de peste 20 de milioane de dolari proiectelor de securitate open-source începând cu 2022. Alte organizații se pot alătura contribuind cu resurse de inginerie sau finanțare pe akrites.org.