Google kündigt Investitionen in Höhe von mehreren Millionen Dollar in Open-Source-Sicherheit an

Am 17. März kündigte Google an, dass es sich einer Reihe großer Technologieunternehmen anschließen werde, um eine neue Runde groß angelegter Investitionen in die Sicherheit von Open-Source-Software durchzuführen, um die Stabilität und Sicherheit der Open-Source-Community zu verbessern. In seiner Stellungnahme bezeichnete Google Open-Source-Software als „das Rückgrat des modernen Netzwerks“ und betonte, dass es in einer Zeit, in der „KI-gesteuerte Bedrohungen“ immer stärker in den Vordergrund rücken, von entscheidender Bedeutung sei, die Sicherheit der Open-Source-Infrastruktur zu gewährleisten.

Als Gründungsmitglied des Alpha-Omega-Projekts der Linux Foundation sagte Google, dass es insgesamt 12,5 Millionen US-Dollar an Finanzmitteln mit Unternehmen wie Amazon, Anthropic, Microsoft/GitHub und OpenAI bereitstellen werde, um „weiter in die Stabilität und Sicherheit der Open-Source-Community zu investieren“. Dieser Fonds wird von Alpha-Omega und OpenSSF verwaltet und hauptsächlich dazu verwendet, Open-Source-Projektbetreuer dabei zu unterstützen, mit der neuen Generation von KI-gesteuerten Sicherheitsbedrohungen umzugehen, von der bloßen Entdeckung von Schwachstellen zu tatsächlichen Reparaturen überzugehen und fortschrittlichere Sicherheitstools direkt in die Hände von Betreuern zu legen und so umfangreiche KI-generierte Sicherheitsergebnisse in schnell ausführbare Maßnahmen umzuwandeln.

Wenn es um „KI-generierte Sicherheitsentdeckungen“ geht, erwähnt Google ausdrücklich die Ergebnisse seiner internen KI-Sicherheitsagenten-Tools. Bereits im Juli 2025 entdeckte und blockierte Googles KI-Agent Big Sleep eine ausgenutzte SQLite-Zero-Day-Schwachstelle, bevor Black-Hat-Hacker sie zu einer Waffe machen konnten. In den folgenden Monaten startete Google still und leise einen KI-Agenten namens „CodeMender“, der nicht nur Sicherheitslücken markieren, sondern auch den Code automatisch neu schreiben kann, um die Patch-Arbeit abzuschließen. Google sagte, dass Tools wie Big Sleep und CodeMender „das transformative Potenzial von KI beim Schutz des breiteren Open-Source-Ökosystems demonstrieren“.

Hintergrund dieser Finanzierungsrunde ist, dass die Betreuer einer Vielzahl wichtiger Open-Source-Projekte unter „Alarmmüdigkeit“ leiden. In beliebten Projekten wie Python und React sind Betreuer täglich mit Tausenden von Schwachstellenberichten konfrontiert, die automatisch von KI generiert werden, was energieaufwändig und äußerst schwierig auf Qualität zu überprüfen ist. Einige Projekte waren gezwungen, ihre Strategien anzupassen. Beispielsweise entschied sich das weit verbreitete Netzwerktool cURL dafür, das Bug-Bounty-Programm zu schließen, nachdem seine Betreuer lange Zeit mit minderwertigen KI-„Junk-Berichten“ überschwemmt wurden, von denen vermutet wurde, dass sie für Kopfgelder generiert wurden, und versuchte, die wirtschaftlichen Anreize für böswillige Akteure zu unterbinden, ungültige Berichte an der Quelle einzureichen.

Das von mehreren Technologieriesen ins Leben gerufene finanzielle Engagement von Google soll dazu dienen, diese unter enormem Druck stehenden Open-Source-Wartungsteams direkter und nachhaltiger zu unterstützen. Aus Sicht der Branche ist dies nicht nur eine Art „Feedback“ für die Open-Source-Infrastruktur, von der große Cloud- und KI-Hersteller in hohem Maße abhängig sind, sondern auch ein Versuch, zu verhindern, dass das gesamte Open-Source-Ökosystem durch die Alarmflut und den Sicherheitsdruck aus dem Gleichgewicht gerät, nachdem KI beispiellose automatisierte Test- und Grabungsfunktionen mit sich bringt.