每位IT从业者都清楚,AI已经为开源代码安全攻击开辟了全新战场。过去,发动网络攻击需要具备相当高的技术水平,而如今,任何人只要拥有一个足够先进的AI模型,就能扫描程序漏洞并植入AI定制的恶意软件。专注于零CVE容器镜像和安全加固开源代码的软件公司Chainguard,正联合多方力量,通过"Athena"项目抢先一步对抗攻击者。
Chainguard指出:"从漏洞被发现到被利用的时间窗口,已经从以往的数年缩短至数小时。越来越多的漏洞利用行为甚至发生在漏洞被公开披露之前。协调披露机制是为一个发现严重漏洞需要数周、攻击目标也相对有限的时代而设计的,但那个时代已经一去不复返。"Chainguard所言不虚。
Chainguard首席执行官兼联合创始人Dan Lorenc在LinkedIn上写道,我们面临着一个抉择:"要么任由开源安全生态碎片化成十几个相互兼容的补丁集,要么选择更艰难的协同合作之路。我曾说,这件事只有大家共同参与才能成功,也坦承自己当时并不确定能否实现。现在,情况有了新进展:整个行业响应了号召。它叫Athena,已经正式上线。"
思科高级副总裁兼首席安全与信任官Anthony Grieco对此表示认同:"数十年来,思科一直致力于保护开源生态系统的安全。如今这项工作面临更为紧迫的挑战——前沿AI技术已经将漏洞发现周期加速到传统协调披露机制难以应对的程度。Chainguard的Athena联盟代表着一次重要的演进:以威胁所要求的速度,协同整合开源漏洞情报与防御能力。"
Athena由两大部分构成。第一部分是一个由二十余家公司组成的联盟,成员将协同利用前沿AI模型,对被广泛使用的开源软件中的漏洞进行排查和修复。联盟支持者涵盖金融和企业基础设施领域的顶级机构,包括摩根大通、思科、Cloudflare、Docker、Kyndryl和普华永道。
这些公司在软件供应链安全方面本已面临严格的监管要求和客户压力。联盟为它们提供了一种方式,可以在影响各自技术栈的漏洞问题上汇聚数据、AI能力和修复资源。其目标是从各自为战的项目级修复,转变为一种协同联动模式,使AI识别出的关键开源软件漏洞能够在被攻击者纳入攻击手册之前得到发现和处理。
从技术层面看,Athena的核心承诺在于速度——在攻击者发现漏洞之前完成修补。在该项目框架下,AI系统将扫描海量开源代码及依赖关系图,标记潜在弱点,以便在上游进行验证和修复。
然而,补丁有时无法在预期时间内就绪。对此,Chainguard解释说:"Athena通过独立的多层防护叠加,确保在干净补丁尚未就位时依然能够提供覆盖,并持续跟踪每一个漏洞,直到上游可持续的修复方案落地。"
Chainguard将这一举措与其"默认安全"产品线紧密结合。该产品线包括符合SLSA Level 3标准的构建、带有软件物料清单的签名制品、最小化镜像,以及每日从源代码重新构建的软件包,以将漏洞数量保持在近乎为零的水平。通过将Athena的发现成果注入这一生产体系,Chainguard表示可以快速交付经过安全加固的容器、库、虚拟机和开源软件包,并同步为客户提供清晰的来源追溯链,以满足FedRAMP、HIPAA、欧盟《网络弹性法案》及NIS2等多种合规要求。
Chainguard及其合作伙伴并非孤军奋战。IBM和红帽正投入数十亿美元资金和数千名工程师攻克这一难题。开源安全基金会(OpenSSF)也正在推进OSS-CRS项目,这是其AI/ML安全工作组下的一个新开源项目,旨在为构建和运行基于大语言模型的自主漏洞发现与修复系统提供标准编排框架。
对于正密切关注AI安全动态的首席信息安全官和监管机构而言,Athena将是一个重要的试验案例,检验AI增强的开源漏洞协同应对机制,能否超越营销口号,真正在可量化的可利用漏洞数量上取得实质性下降。
事实上,Lorenc已经给出了初步答卷:"Athena今天已经在运行,已处理超过两万条发现结果,在500个项目中提交了2000个补丁,并在大约一个月内完成了首批协调披露。"
正如Lorenc所说:"它会完美无缺吗?不会,任何人都不应该假装如此。但碎片化的结果更糟糕,原地不动则意味着无法生存。加入联盟的行业成员越多,留给攻击者的可乘之机就越少。欢迎加入我们。"Athena这样的努力,或许正是守护我们代码安全的希望所在。
Q&A
Q1:Athena联盟是什么,由哪些公司参与?
A:Athena是由Chainguard发起的开源安全协作联盟,目标是利用前沿AI模型,在攻击者发现漏洞之前完成排查和修复。联盟成员超过二十家,涵盖摩根大通、思科、Cloudflare、Docker、Kyndryl和普华永道等金融与企业基础设施领域的头部机构。成员之间共享数据、AI能力和修复资源,共同应对开源软件供应链安全风险。
Q2:Athena联盟如何在补丁尚未就绪时保障安全?
A:Athena采用多层独立防护叠加的方式,确保在干净补丁尚未发布时依然能够提供安全覆盖。系统会持续跟踪每一个已识别的漏洞,直到上游可持续的修复方案最终落地。这种机制避免了单点防护失效带来的安全空窗期,为整个修复周期提供连续保障。
Q3:Athena目前实际取得了哪些成果?
A:据Chainguard联合创始人Dan Lorenc披露,Athena上线后已处理超过两万条漏洞发现结果,在500个开源项目中提交了2000个补丁,并在约一个月内完成了首批协调披露工作。这些数据表明,Athena已从概念阶段进入实际运营阶段,并初步展现出规模化应对开源安全威胁的能力。
好文章,需要你的鼓励
2026年7月13日,软件工程师Ryan Peterman在他的播客The Peterman Pod上发布了一期与David Patterson的长对话。
英伟达推出Nemotron-Labs-Diffusion三模式语言模型,将逐字生成、并行扩散与自猜自验融于一体,单用户吞吐量最高达Qwen3-8B的4倍,同时保持相近准确率。
今天讲的出海案例是生产微型扬声器、受话器和音响产品的豪声电子,其计划投资2500万泰铢的泰国音响类电声工厂已经进入初步投产阶段。
SIEVE是一种面向机器人模仿学习的数据筛选方法,通过发现可复用行为原语和转换接口,用50%数据和训练量超越全量训练效果。