Akrites dicht open source-lekken voor AI dat doet

Het platform wordt ondersteund door een indrukwekkende lijst van oprichters, waaronder Amazon Web Services (AWS), Anthropic, Cisco, Citi, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, Red Hat, Vodafone en Zscaler. Financiële ruggengraat voor de startfase wordt geleverd door Alpha-Omega, een fonds dat is ondergebracht bij de Linux Foundation.

De impact van AI op kwetsbaarheden

Open source software vormt het fundament van de wereldwijde digitale economie en stuurt kritieke infrastructuren aan zoals banken, ziekenhuizen, energienetwerken en telecomnetwerken. Waar het handmatig opsporen van complexe softwarefouten voorheen weken kostte voor zowel security-experts als kwaadwillenden, kunnen geavanceerde AI-modellen code nu binnen enkele minuten scannen op kwetsbaarheden.

Zodra deze AI-tools breder beschikbaar komen voor cybercriminelen, dreigt er een vloedgolf aan geautomatiseerde aanvallen op vitale systemen. Akrites moet ervoor zorgen dat de verdediging deze versnelling voorblijft.

Centraal incident response team

In het huidige landschap is de afhandeling van beveiligingslekken vaak gefragmenteerd. Verschillende organisaties werken onafhankelijk van elkaar aan dezelfde problemen, wat leidt tot tegenstrijdige patches (reparatiesoftware) of overbelaste software-onderhouders (maintainers) die worden bedolven onder dubbele meldingen.

Akrites introduceert een gestandaardiseerd proces voor gecoördineerde kwetsbaarheidsopenbaarmaking (Coordinated Vulnerability Disclosure) en richt een gedeeld Security Incident Response Team (SIRT) op. Dit team fungeert als een centraal, voorspelbaar aanspreekpunt. De kernfilosofie is 'confidentiality-first': kwetsbaarheden worden vertrouwelijk onderzocht en direct bij de bron (upstream) gerepareerd in samenwerking met de oorspronkelijke ontwikkelaars, nog voordat de details openbaar worden gemaakt en misbruikt kunnen worden.

Wanneer een kritiek softwarepakket geen actieve beheerder meer heeft, zal Akrites optreden als 'maintainer of last resort' om alsnog noodzakelijke beveiligingsupdates te ontwikkelen en te distribueren.

Breed gedragen industrie-initiatief

Topfunctionarissen uit de tech- en securitysector benadrukken het urgente karakter van de samenwerking. Security-topmensen van Google en Microsoft wijzen erop dat de kloof tussen het ontdekken van een kwetsbaarheid en het daadwerkelijke misbruik ervan door AI bijna realtime is geworden. Het doel van Akrites is dan ook niet alleen het publiceren van een oplossing, maar het zo snel mogelijk implementeren van de patch in operationele systemen wereldwijd.

Bedrijven en organisaties die engineering-capaciteit of financiële middelen willen bijdragen aan de beveiliging van de open source-keten, worden door de Linux Foundation uitgenodigd om zich bij het initiatief aan te sluiten via het platform akrites.org.