ZECLinux基金会携手19家创始组织启动Akrites项目,加速关键开源软件漏洞修补
周四,Linux基金会联合亚马逊、Anthropic、花旗集团、谷歌、摩根大通、微软、英伟达、OpenAI等19家创始组织,共同启动了Akrites项目。该项目旨在协调关键开源软件的漏洞修补工作,赶在AI驱动的攻击者利用漏洞之前完成修复。
这一举措针对的是AI技术已使其变得紧迫的时间窗口问题。如今,前沿模型能在数分钟内扫描一个大型开源项目并发现多个确认的漏洞——而这项工作过去需要一名熟练的安全研究员花费数周时间。此前有报道称,Claude Opus 4.8在一天之内就发现了Zcash的Orchard隐私池中的一个严重漏洞,暴露了一个历经四年密码学家审查仍未被发现的缺陷。
如果白帽黑客发现这些漏洞,一切尚好。但如果恶意行为者得手,情况就会迅速变得极其混乱。Anthropic的副首席信息安全官杰森·克林顿在公开信中指出,现有的协调披露模式“已被AI发现漏洞的速度远远甩在后面”——而且,要想在上游完成修复,就必须在“漏洞被披露和利用之前”协调好各方发现的结果。
在Akrites之前,协调披露模式并非为应对这种速度而设计。多个组织会独立扫描相同的代码库,然后经历冗长的官僚流程才修复漏洞——19家创始组织联署的公开信将这一过程形容为“用噪声淹没维护者”。Endor Labs首席执行官瓦伦·巴德瓦尔更进一步指出:在AI近几个月发现的数千个已验证的开源漏洞中,“只有不到5%得到了修补”。
Akrites取代了上述流程,设立了一个单一的、保密的“安全事件响应团队”——对维护者而言,这是可预测的统一对接方,而非铺天盖地的零散报告。修复程序将按照维护者的条款,采用漏洞跟踪标准,返回到每个项目的原始代码库。当某个关键软件包缺乏活跃维护者时,Akrites承诺将作为“最后维护者”介入。
该项目的首要目标是防止信息泄露——公开信中将广泛部署的软件包中未披露的漏洞称为“武器”。Rust基金会首席执行官丽贝卡·朗布尔表示,开源维护者的善意长期以来被视作理所当然,而这一举措将帮助他们协同工作。她说:“Akrites承诺与上游维护者进行有意义的协调,提供资金和全职支持,以负责任地发现、修复和披露安全漏洞,并真正推动科技和金融领域最具影响力的公司共同解决这一问题。”
摩根大通首席信息安全官帕特·奥佩特阐述了这项工作真正需要怎样的成功标准。奥佩特表示:“AI已将漏洞发现到被利用之间的时间压缩到近乎实时”——这意味着攻击者可以在下游系统部署补丁之前,反向工程已发布的补丁并构建出可用的漏洞利用程序。按照奥佩特的说法,成功的关键是“补丁的部署,而非补丁的发布”。
在Akrites启动的三天前,OpenAI推出了自己的并行项目“修补地球”——这是一次采用GPT-5.5-Cyber和Trail of Bits工程师的首次冲刺,涉及19个开源项目,已合并了数十个补丁。OpenAI网络安全负责人克林特·吉布勒称,确保开源安全是公司的“长期承诺”,而Akrites有助于“加强整个行业的协调”。
尽管相似,但两个项目的侧重点有所不同:“修补地球”专注于AI辅助的漏洞发现和补丁交付,并辅以专家人工审核;Akrites则构建协调层,将经过验证的漏洞发现路由至整个行业的上游。
Alpha-Omega(Linux基金会旗下定向基金)将为Akrites提供种子资金。自2022年以来,该基金已向开源安全项目发放了70多笔赠款,总额超过2000万美元。其他组织可通过投入工程资源或资金的方式加入该项目。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注