La Fundación Linux anunció recientemente que ha lanzado un nuevo proyecto llamado "Akrites" con varios gigantes tecnológicos, instituciones financieras y proveedores de seguridad, con el objetivo de fortalecer las capacidades de defensa del software crítico de código abierto en una era en la que la IA y los grandes modelos de lenguaje se utilizan ampliamente para explotar vulnerabilidades. Con modelos de IA de vanguardia capaces de descubrir fallas de software a una velocidad y escala mucho mayores que nunca, la presión de seguridad sobre la infraestructura de código abierto está aumentando rápidamente y Akrites se posiciona como un esfuerzo coordinado a nivel industrial en torno a la corrección y divulgación de vulnerabilidades.
Según la información publicada por la Fundación Linux, el objetivo principal de Akrites es establecer un proceso de divulgación de vulnerabilidades unificado, estandarizado y coordinado que priorice la confidencialidad en proyectos clave de código abierto ampliamente utilizados y responder rápidamente a las vulnerabilidades de seguridad descubiertas con asistencia de IA a través de un mecanismo centralizado de respuesta a incidentes de seguridad. El proyecto se centrará en componentes de código abierto que respaldan infraestructuras críticas como telecomunicaciones, finanzas, atención médica y energía, y se esforzará por trabajar con los encargados de mantenimiento para completar las reparaciones antes de que los atacantes exploten las vulnerabilidades.
Como entidad de apoyo, Akrites actuará como un Equipo de Respuesta a Incidentes de Seguridad (SIRT) compartido y proporcionará un único canal de coordinación para vulnerabilidades graves, evitando que los mantenedores de código abierto enfrenten informes múltiples y repetidos de diferentes empresas e instituciones y mejorando la eficiencia de la respuesta. En este modelo, el proceso de manejo de vulnerabilidades permanecerá confidencial y las correcciones se retroalimentarán a través del proceso de mantenimiento del proyecto original para garantizar que las correcciones se implementen en la versión y el ritmo de lanzamiento correctos. Para los paquetes de software críticos que ya carecen de mantenedores activos pero que todavía son ampliamente confiables, Akrites también actuará como "último mantenedor", coordinando e impulsando correcciones en las versiones principales cuando sea necesario.
El proyecto ha recibido un amplio apoyo de la industria y los primeros participantes incluyen Amazon Cloud Technology (AWS), Anthropic, Chainguard, Cisco, Citigroup, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft y su GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone y Zscaler. Estos participantes incluyen proveedores de servicios en la nube, laboratorios de inteligencia artificial, instituciones financieras y proveedores de seguridad de la cadena de suministro de software, lo que refleja el consenso y la ansiedad de la industria sobre los riesgos de seguridad del código abierto en la era de la inteligencia artificial.
La Fundación Linux señaló que en el pasado, en ausencia de una coordinación unificada, múltiples equipos de seguridad a menudo iniciaban informes independientes e intentos de reparación de vulnerabilidades en el mismo componente de código abierto, lo que resultaba en que los mantenedores tuvieran que comunicarse, revisar y fusionar parches repetidamente, lo que no solo ralentizaba la velocidad de las reparaciones, sino que también aumentaba el riesgo de parches bifurcados y fragmentación posterior. Akrites integra los hallazgos de diferentes organizaciones en un proceso de coordinación a través de canales centralizados y cadenas de herramientas compartidas, lo que no solo reduce la carga para los mantenedores, sino que también ayuda a evitar el enfoque de parcheo "basado en silos" en sucursales privadas y fortalece la reparación unificada ascendente.
En el contexto de la seguridad de la IA, Akrites enfatiza la idea de la "actualización colaborativa del defensor": por un lado, los modelos de IA de vanguardia se han convertido en una herramienta importante para descubrir vulnerabilidades de código abierto, ayudando a los equipos de seguridad a auditar pilas de software complejas de forma automatizada; por otro lado, los atacantes también pueden utilizar tecnologías similares para escanear y convertir en armas estas fallas a mayor escala. La Fundación Linux cree que bajo tales cambios en las condiciones de ataque y defensa, se necesita un nuevo mecanismo a nivel industrial para garantizar que el ritmo de reparación del software clave de código abierto pueda mantenerse al día con la velocidad del descubrimiento de vulnerabilidades impulsado por la IA y para evitar que la infraestructura exponga vulnerabilidades explotables a gran escala en un corto período de tiempo.
Actualmente, el proyecto Akrites se lanzó en el sitio web oficial y ha comenzado a operar. En el futuro, ampliará gradualmente el alcance de los componentes clave de código abierto cubiertos y establecerá relaciones de cooperación con más comunidades e instituciones. Aunque aún está por verse el impacto específico de este proyecto en la situación general de seguridad ecológica del código abierto en el corto plazo, la Fundación Linux y sus socios claramente esperan proporcionar una nueva línea de defensa sistémica para la cadena de suministro de código abierto en la era de la IA mediante el establecimiento de una plataforma de eliminación de vulnerabilidades altamente coordinada y que priorice la confidencialidad.
aprender más:
https://akrites.org/
https://akrites.org/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats/