Akrites: 20 ИТ-гигантов объединились, чтобы защитить опенсорс от ИИ-атак

Linux Foundation анонсировала Akrites — скоординированную отраслевую инициативу по защите критически важного открытого ПО от ИИ-угроз. В альянс вошли более 20 компаний: Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler.

Почему это случилось именно сейчас

Раньше, чтобы найти серьёзную уязвимость, нужно было обладать глубокой экспертизой. Теперь фронтирные ИИ-модели сканируют крупный опенсорс-проект и находят дыры за минуты.

На конференции Open Source Week глава Linux Foundation Джим Землин выдал убийственную цифру:

«Среднее время между обнаружением уязвимости и её эксплуатацией теперь составляет минус семь дней».

Вдумайтесь: к тому моменту, как вы узнаёте о дыре в своём коде, хакеры уже неделю её используют.

Как работает Akrites

Центр проекта — единая команда реагирования на инциденты (SIRT). Она берёт на себя:

• Фильтрацию баг-репортов — вместо сотен дублирующих сообщений мейнтейнеры зарабатывают один выверенный сигнал.

• Координацию патчей — фиксы возвращаются в репозитории на условиях разработчиков, а не через частные форки.

• Единую точку контакта — у мейнтейнеров больше не будет паники от разнонаправленных запросов от разных вендоров.

Оценка уязвимостей и обмен данными опираются на стандарты CVE, CVSS и протокол TLP. Отчёты получают максимальный уровень секретности до релиза исправления.

А если инициатива заброшен?

Тут самое интересное. Если критически важный пакет остался без мейнтейнера, Akrites выпускает апдейт самостоятельно.

«Когда патчи публикуются, злоумышленники используют ИИ, чтобы мгновенно обратным инжинирингом понять уязвимость и разработать эксплойты. Поэтому наш успех будет измеряться не публикацией патча, а его развёртыванием» — говорится в совместном открытом письме инициативы.

Майк Долан, старший вице-президент Linux Foundation: «Что здесь действительно отличается — это один скоординированный процесс. Один партнёр для мейнтейнеров опенсорса, а не поток хаотичных отчётов».

Akrites — это признание того, что старая схема координации уязвимостей больше не работает. ИИ ускорил атакующих. Теперь защитники должны двигаться заодно и с той же скоростью.

Ирония в том, что крупнейшие ИИ-компании — OpenAI, Anthropic, NVIDIA, Google — объединились с теми, чей код они же и анализируют. Потому что поняли: если опенсорс рухнет, рухнет всё.