IBM与红帽斥资50亿美元、调遣2万名工程师，能否拯救开源安全困局？

生成式 AI 对开源软件而言是一把双刃剑。一方面，AI 能帮助开发者更快编写代码、更迅速地定位漏洞；另一方面，项目维护者却被海量涌入的潜在严重漏洞报告压得喘不过气。

cURL 这一广受欢迎的开源数据传输程序的创始人兼维护者 Daniel Steinberg 近日坦言："收到的安全报告速率是2024年的四五倍，是2025年初的两倍。"他第一次承认，"我比以往任何时候都工作得更多，但洪流还在不断涌来。"Steinberg 已濒临职业倦怠，他呼吁更多公司"资助我们"，以便雇用更多开发者来分担工作量。如今，IBM 及其子公司红帽（Red Hat）已听到了这声呼吁。

他们的回应是"光井计划"（Project Lightwell）——一项由 AI 驱动的计划，被定位为"前所未有的力量"，旨在以工业化规模发现并修复开源软件中的安全漏洞。光井计划的目标是成为保障现代企业 IT 底层开源组件安全的事实标准信息枢纽。

不过，该计划并不会向上游开发者提供直接报酬。光井计划的实际做法是：为 IBM 和红帽工程师提供 AI 工具，让他们专注于重要的、对业务至关重要的开源项目，并尽可能提升其安全性。鉴于 Anthropic 的 Mythos Preview 模型已在短短几周内识别出开源软件中近3900个严重安全漏洞，对更快修复速度的迫切需求已不言而喻。

为此，两家公司将在未来数年内投入50亿美元，用于部署前沿规模的 AI 模型、配套工具，以及一个专注于开源安全的全球工程组织。这一举措并不仅仅是一次 AI 布局。两家公司还将调配2万名工程师，将开源风险视为一级供应链问题，而非日常后台维护事务。

光井计划的核心是一种全新的运营模式，旨在弥合企业与其所依赖软件的上游社区之间的鸿沟。IBM 和红帽并未推出又一个漏洞赏金计划或代码扫描服务，而是将光井计划定位为受信任的中间方：企业向该计划提供其运行的开源软件信息，光井计划的工程师再借助 AI 寻找缺陷并提出修复方案，随后与上游维护者协作，将补丁合并并正式发布。

两家公司表示，这一信息枢纽将整合目前分散在内部安全团队、第三方扫描工具和社区维护者之间的多项职能，涵盖大规模漏洞发现、分类与优先级排序、补丁开发、版本回移（backporting），以及对企业实际部署版本的长期生命周期支持。若一切顺利，这一方案将把零散的人工修复转变为高吞吐量的漏洞修复流水线，同时仍尊重项目治理规范和开放开发准则。

IBM 董事长兼首席执行官阿文德·克里希纳（Arvind Krishna）在声明中表示："通过光井计划，IBM 和红帽正在助力定义一种新的行业模式——将 AI、工程专业能力与可信协作融为一体，从源头到整个供应链全面保障开源软件的安全。"

光井计划将首先聚焦 Maven/Java 生态系统——这一领域早在 AI 兴起之前便饱受安全滥用问题困扰，随后将逐步扩展至 PyPI、npm、Go 及其他重要开源代码库。

该计划将由 IBM 最新的 AI 模型提供支持。这些系统将经过专门训练，能够扫描海量代码库、依赖关系图谱和配置存档，发现潜在漏洞，并生成候选补丁，再由人工工程师验证后，方可提交至上游或部署至客户环境。

两家公司认为，这种"人在回路"的方式是让 AI 获得安全关键代码信任的必要前提。AI 模型可以识别出人工审查者根本无暇顾及的模式和问题，但关于何为安全且可接受的修复方案，最终决定权仍将由经验丰富的工程师和项目维护者掌握。在实际运作中，光井计划希望在社区眼中呈现为一位规模庞大、组织有序的贡献者，而非一个不断投递未经请求的合并请求（pull request）的不透明自动化层。

对红帽而言，光井计划是对其数十年经验积累的延伸——将上游开源项目加固并为企业提供支持，同时将改进成果回馈社区。区别在于规模。红帽的传统模式以其自身产品平台为核心，包括红帽企业版 Linux（RHEL）、OpenShift 和 Ansible，而光井计划将瞄准那些默默支撑银行系统乃至 AI 流水线的庞大数量的库、框架和工具。

两家公司表示，光井计划的工程师将提交问题报告、提出补丁，并与现有项目负责人共同维护关键组件，而非进行分叉或取而代之。当上游维护者对某个修复方案存在异议或拒绝支持旧版本分支时，光井计划仍可为客户提供经加固处理的回移版本。但 IBM 和红帽坚持认为，默认路径是"上游优先"，信息枢纽扮演的是桥梁角色，连接企业生产需求与社区发布节奏。

与此同时，IBM 和红帽明确表示："上述能力将通过商业订阅的方式提供，使企业能够将经过验证的安全补丁直接集成到现有软件供应链中，并享有企业级验证和生命周期管理服务。"

这些订阅被定位为现有软件供应链的叠加层，而非一个新的发行版：光井计划将接入企业已在使用的持续集成/持续交付（CI/CD）、软件仓库（registry）及软件物料清单（SBOM）流程，通过 API、目录和集成方式交付经过审核的修复方案与策略决策。

IBM 软件业务高级副总裁罗布·托马斯（Rob Thomas）告诉路透社："该服务将在未来30天内作为商业产品正式上线。"这一订阅服务可能将根据使用的软件包数量定价，并将为客户提供"来自信息枢纽的认证背书，证明其使用的开源软件可安全用于生产环境"。

当然，这项服务本身并无问题，两家实力雄厚的公司投入了大量资金，理应从中获利。但上游开源开发者及其所属社区，将在这一新模式中扮演怎样的角色？这个拟议中的企业可信枢纽，是否会成为大型企业的事实守门人？如果所有补丁都提交至上游仓库，客户究竟在为什么付费？

这些都是值得深思的问题，而目前还没有令人满意的答案。且行且关注。

Q&A

Q1：光井计划（Project Lightwell）是什么？它要解决什么问题？

A：光井计划是 IBM 和红帽联合发起的一项 AI 驱动的开源安全计划，旨在以工业化规模发现并修复开源软件中的安全漏洞。其背景是当前开源维护者面临 AI 生成的海量漏洞报告冲击，人手严重不足。该计划将充当企业与上游开源社区之间的可信中间方，整合漏洞发现、补丁开发和生命周期支持等职能。

Q2：光井计划会给上游开源开发者带来哪些直接支持？

A：光井计划并不会直接向上游开发者发放报酬。它的方式是派遣 IBM 和红帽的工程师，借助 AI 工具参与重要开源项目的安全修复工作，并以贡献者身份与上游维护者协作，将补丁合并至正式代码库。对于上游维护者不愿支持的旧版本，光井计划也会为企业客户单独提供经加固的回移版本。

Q3：企业用户订阅光井计划能获得什么？

A：企业订阅光井计划后，可获得经过验证的安全补丁，这些补丁可直接集成到现有软件供应链中，并附带企业级验证和生命周期管理服务。此外，订阅还提供来自信息枢纽的安全认证背书，证明相关开源软件可安全用于生产环境。订阅费用可能将根据企业使用的软件包数量定价。