Die Linux Foundation gab kürzlich bekannt, dass sie mit einer Reihe von Technologieriesen, Finanzinstituten und Sicherheitsanbietern ein neues Projekt namens „Akrites“ gestartet hat, das darauf abzielt, die Verteidigungsfähigkeiten kritischer Open-Source-Software in einer Zeit zu stärken, in der KI und große Sprachmodelle weit verbreitet sind, um Schwachstellen zu ermitteln. Da hochmoderne KI-Modelle in der Lage sind, Softwarefehler schneller und in größerem Umfang als je zuvor zu entdecken, steigt der Sicherheitsdruck auf Open-Source-Infrastrukturen rapide an, und Akrites positioniert sich als branchenweit koordiniertes Unternehmen für die Behebung und Offenlegung von Schwachstellen.
Laut von der Linux Foundation veröffentlichten Informationen besteht das Hauptziel von Akrites darin, einen einheitlichen, standardisierten und koordinierten Prozess zur Offenlegung von Sicherheitslücken zu etablieren, der der Vertraulichkeit in weit verbreiteten wichtigen Open-Source-Projekten Priorität einräumt, und durch einen zentralen Mechanismus zur Reaktion auf Sicherheitsvorfälle schnell auf Sicherheitslücken zu reagieren, die mit KI-Unterstützung entdeckt werden. Das Projekt wird sich auf Open-Source-Komponenten konzentrieren, die kritische Infrastrukturen wie Telekommunikation, Finanzen, medizinische Versorgung und Energie unterstützen, und ist bestrebt, mit vorgelagerten Betreuern zusammenzuarbeiten, um Reparaturen abzuschließen, bevor Schwachstellen von Angreifern ausgenutzt werden.
Als unterstützende Einheit fungiert Akrites als gemeinsames Security Incident Response Team (SIRT) und stellt einen einzigen Koordinierungskanal für schwerwiegende Schwachstellen bereit. Dadurch wird verhindert, dass Open-Source-Betreuer mit mehreren und wiederholten Meldungen von verschiedenen Unternehmen und Institutionen konfrontiert werden, und die Reaktionseffizienz verbessert. In diesem Modell bleibt der Schwachstellenbehandlungsprozess vertraulich und Korrekturen werden über den ursprünglichen Projektwartungsprozess vorgelagert zurückgeführt, um sicherzustellen, dass die Korrekturen in der richtigen Version und im richtigen Veröffentlichungsrhythmus implementiert werden. Bei kritischen Softwarepaketen, für die es ohnehin keine aktiven Betreuer gibt, auf die man sich aber dennoch weitgehend verlässt, wird Akrites auch als „letzter Betreuer“ fungieren und bei Bedarf Korrekturen koordinieren und in Mainstream-Releases verschieben.
Das Projekt hat breite Branchenunterstützung erhalten und zu den ersten Teilnehmern zählen Amazon Cloud Technology (AWS), Anthropic, Chainguard, Cisco, Citigroup, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft und sein GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone und Zscaler. Zu diesen Teilnehmern gehören Cloud-Dienstleister, KI-Labore, Finanzinstitute und Anbieter von Software-Lieferkettensicherheit, was den Konsens und die Besorgnis der Branche über Open-Source-Sicherheitsrisiken im KI-Zeitalter widerspiegelt.
Die Linux Foundation wies darauf hin, dass in der Vergangenheit mangels einheitlicher Koordination mehrere Sicherheitsteams häufig unabhängige Berichte und Reparaturversuche zu Schwachstellen in derselben Open-Source-Komponente initiierten, was dazu führte, dass Betreuer Patches wiederholt kommunizieren, überprüfen und zusammenführen mussten, was nicht nur die Geschwindigkeit der Reparaturen verlangsamte, sondern auch das Risiko von gespaltenen Patches und Downstream-Fragmentierung erhöhte. Akrites integriert die Erkenntnisse verschiedener Organisationen über zentralisierte Kanäle und gemeinsame Toolketten in einen Koordinationsprozess, was nicht nur die Belastung der Betreuer verringert, sondern auch dazu beiträgt, den „silobasierten“ Patching-Ansatz in privaten Zweigstellen zu vermeiden und die vorgelagerte einheitliche Reparatur zu stärken.
Im Kontext der KI-Sicherheit betont Akrites die Idee des „kollaborativen Verteidiger-Upgrades“: Einerseits sind hochmoderne KI-Modelle zu einem wichtigen Werkzeug für die Entdeckung von Open-Source-Schwachstellen geworden und helfen Sicherheitsteams dabei, komplexe Software-Stacks automatisiert zu prüfen; Andererseits können Angreifer ähnliche Technologien auch nutzen, um diese Schwachstellen in größerem Maßstab zu scannen und als Waffe einzusetzen. Die Linux Foundation ist davon überzeugt, dass bei solchen Veränderungen der Angriffs- und Verteidigungsbedingungen ein neuer Mechanismus auf Branchenebene erforderlich ist, um sicherzustellen, dass der Reparaturrhythmus wichtiger Open-Source-Software mit der Geschwindigkeit der KI-gesteuerten Schwachstellenerkennung Schritt halten kann, und um zu verhindern, dass die Infrastruktur in kurzer Zeit große ausnutzbare Schwachstellen aufdeckt.
Derzeit wurde das Akrites-Projekt auf der offiziellen Website gestartet und hat den Betrieb aufgenommen. In Zukunft wird es den Umfang der abgedeckten Schlüssel-Open-Source-Komponenten schrittweise erweitern und Kooperationsbeziehungen mit mehr Communities und Institutionen aufbauen. Obwohl die konkreten Auswirkungen dieses Projekts auf die allgemeine ökologische Sicherheitssituation von Open Source kurzfristig noch abzuwarten bleiben, hoffen die Linux Foundation und ihre Partner eindeutig, eine neue systemische Verteidigungslinie für die Open Source-Lieferkette im KI-Zeitalter bereitzustellen, indem sie eine hochkoordinierte Plattform zur Beseitigung von Sicherheitslücken einrichten, bei der die Vertraulichkeit an erster Stelle steht.
Erfahren Sie mehr:
https://akrites.org/
https://akrites.org/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats/