面向开发者的网络安全平台Aikido Security宣布,已完成对Root公司的收购。Root的核心技术能够在不强制用户升级至新版本的前提下,直接将已知漏洞的修复补丁应用于团队当前正在运行的开源软件包版本中。
此次收购金额为7000万美元,Root的补丁技术将被整合进一款名为Aikido Libraries的新产品中。与此同时,Aikido还作出承诺:将针对严重且已遭主动利用的漏洞,向开源社区免费提供回移修复补丁,覆盖其所支持的所有生态系统,包括npm、PyPI和Maven。
Aikido成立于2022年,提供涵盖代码扫描、云安全、供应链恶意软件检测以及AI驱动渗透测试的一体化平台。这家比利时公司于今年1月完成6000万美元融资,估值达到10亿美元,正式跻身独角兽行列。此次收购是该公司一年多来完成的第四笔并购,旨在进一步缩短漏洞发现与修复之间的时间差。
Root的前身是Slim.AI,成立于2021年,依托开源项目DockerSlim构建而来。该公司于2022年完成3100万美元的A轮融资,随后更名为Root,并将业务方向从容器优化转型为自动化漏洞修复。
Aikido的免费回移补丁承诺,具体针对美国网络安全和基础设施安全局(CISA)发布的已知被利用漏洞(KEV)目录中收录的漏洞。这份目录相对精简,收录的均是经证实已在实际环境中被利用的漏洞,虽然只占所有已披露漏洞的一小部分,却是最有可能造成实质损害的那些。
Aikido Security联合创始人兼首席增长官Madeline Lawrence在接受采访时表示,上述免费承诺不存在因收购成本压力而终止的风险——因为KEV目录的准入标准由CISA而非Aikido决定。免费修复服务与Aikido现有的付费产品并行提供,而付费产品寄望于另一项增长趋势:企业正面临日益严峻的合规压力,需要全面修复通用漏洞披露(CVE)中收录的漏洞,无论这些漏洞是否已被实际武器化。
"付费功能覆盖的是CVE的长尾部分——那些监管机构要求企业必须修复的漏洞,而不仅仅是正在被积极利用的那些,相关需求正在急剧增长,"Lawrence表示,"两者出自同一套体系。免费修复并不需要单独的预算支出,因为产出这些修复成果的工作,本身就是付费客户所依赖的工作。"
Root首席执行官Ian Riopel将此次并购定性为行业长期回避的一个根本选择:是将漏洞修复锁定在某家厂商的专有生态体系内,还是将修复成果归还给真正需要它们的开源项目。
"整个行业仍然停留在分类处理阶段,面对一份庞大的CVE列表,争论先修哪个。更糟糕的是,有些人干脆叫团队抛弃现有镜像,重新换用别人的,"Riopel在一份声明中表示,"我们构建Root,就是为了跳过这些争论,直接就地修复问题。这是一个在封闭生态和真正支持开源之间的抉择,我们选择了开源。"
此次收购恰逢AI与网络安全领域双双处于动荡时期。Linux基金会近日发起成立了Akrites——一个由Anthropic、谷歌、微软及约20个机构共同支持的协调性漏洞披露机构,其成立的主要背景,正是AI工具能够以极快速度发现开源代码漏洞这一现实。与此同时,Anthropic近期也经历了一段波折:今年6月,美国政府在研究人员报告其模型存在协助网络攻击的可能性后,暂停了对Fable 5和Mythos 5两款模型的访问权限,此后在当月下旬又为关键基础设施机构恢复了访问。
Lawrence表示,此次收购的时间节点纯属巧合。她说,Root的这笔交易酝酿已久,是在双方2025年年中建立合作关系的基础上自然推进的——Root当时已将其加固容器镜像引入Aikido现有的Autofix产品。
尽管如此,Lawrence并不否认AI对攻防双方正在形成的深层压力。
"整个行业在发现漏洞方面已经做得相当出色,却在修复环节一直原地踏步。AI是第一个让修复端跟上发现端节奏成为可能的东西,"Lawrence表示,"先进的AI模型同样让发现和利用开源软件中的弱点变得更加容易和低成本,这也是当下紧迫感上升的部分原因。能够读懂代码以修复漏洞的同一套能力,同样可以被用来利用漏洞——这正是为什么每一个补丁在发布前都必须经过人工验证。"
Q&A
Q1:Aikido Libraries是什么产品,有什么用?
A:Aikido Libraries是Aikido Security收购Root后推出的新产品,核心功能是将漏洞修复补丁直接应用于用户当前运行的开源软件包版本,无需强制升级至新版本。它整合了Root的补丁回移技术,同时对CISA已知被利用漏洞目录中的严重漏洞提供免费修复,覆盖npm、PyPI、Maven等主流生态系统。
Q2:Aikido的免费补丁承诺具体覆盖哪些漏洞?
A:免费补丁承诺针对的是CISA发布的已知被利用漏洞(KEV)目录中的漏洞,即经证实已在真实攻击中被利用的漏洞。这只是所有已披露漏洞中的一小部分,但危害性最高。付费服务则覆盖更广泛的CVE长尾漏洞,满足合规监管要求。
Q3:AI的发展对开源软件漏洞修复有什么影响?
A:根据Aikido Security的观点,AI让漏洞修复速度有望首次追上漏洞发现速度,使自动化修复在规模上成为可能。但AI也是一把双刃剑——它同样降低了攻击者发现和利用开源软件漏洞的门槛。因此Aikido强调,所有由AI生成的补丁在正式发布前均须经过人工验证,以确保安全可靠。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。