Anthropic等20家机构联合成立开源安全组织Akrites

Linux基金会联合AWS、Anthropic、Google、微软、OpenAI、思科、红帽、英伟达等约20家机构,正式推出开源安全协调机构Akrites。该组织旨在应对AI加速漏洞发现所带来的安全挑战——AI工具已能在单次扫描中发现大量开源漏洞,但修复率不足5%。Akrites通过设立共享安全事件响应团队(SIRT),统一汇总、验证漏洞报告,避免重复提交,并协调补丁发布,确保修复方案尽快落地。初始资金由Alpha-Omega项目提供,年度预算逾700万美元。

AI 已能在单次扫描中发现主流开源项目的多个漏洞,这为防御者提供了强大工具,但攻击者同样可以利用它。面对这一局面,科技行业的主要参与者正在押注:唯有协同合作,才能保持领先。

Linux 基金会于近日正式发布 Akrites,这是一个专门负责关键开源软件漏洞发现、修复与披露的协调机构。其创始成员涵盖约 20 家组织,包括 AWS、Anthropic、谷歌、微软及其旗下 GitHub、OpenAI、思科、红帽、英伟达、Chainguard、Sonatype、爱立信、沃达丰、花旗集团和摩根大通。该组织名称源自拜占庭帝国边境守卫"Akritai"——他们驻守最偏远、最易受袭的前线,高度依赖每一位前来守护的战士。

Akrites 的发布恰逢 AI 安全领域格局动荡之际。今年 4 月,Anthropic 通过 Project Glasswing 计划发布了 Claude Mythos,仅向少数可信合作伙伴开放,专用于网络安全防御。6 月初,Anthropic 进一步推出 Fable 5 和 Mythos 5——首批面向大众开放的 Mythos 级模型,内置防滥用护栏。然而三天后,美国政府暂停了这两款模型的使用,原因是研究人员发现了利用它们协助实施网络攻击的方法。值得注意的是,Anthropic 正是 Akrites 的创始成员之一。

开源安全模式长期依赖由维护者、研究人员和组织构成的松散去中心化网络,负责扫描问题并上报。过去,发现严重漏洞需要数周的专家级工作,防御者尚有时间抢先应对。但 AI 的出现压缩了这一时间窗口。

当多个组织独立扫描同一广泛使用的代码库并各自提交报告时,维护者面对的是大量重复报告,真正可被利用的漏洞信息反而淹没其中。更糟糕的是,知晓未修补漏洞的相关方越多,漏洞在修复完成前泄露的风险就越高。

软件供应链安全公司 Endor Labs 首席执行官、Akrites 创始成员 Varun Badhwar 表示,近几个月来,AI 工具已从开源项目中发现数千个经过验证的漏洞,而修复率不足 5%——这一数据来自其公司内部,尚未经过独立核实。他指出,难点从来都不在于发现本身。

"多年来,我们一直认为发现漏洞从来都不是难点,难的是修复。AI 让这一差距变得无法再被忽视。"

Anthropic 副首席信息安全官 Jason Clinton 也认为,现有模式已经落后于时代:"开源项目共同支撑着互联网的大部分基础设施,而现有的协调披露机制已经跟不上 AI 发现漏洞的速度。要走在前面,行业必须协调漏洞发现结果,在披露和被利用之前将修复推送到上游。"

Akrites 的核心机制是一个共享的安全事件响应团队(SIRT),作为行业协调的统一入口。维护者不再需要面对来自多个组织针对同一漏洞的重复报告,SIRT 将统一整合发现结果,验证哪些是真实可利用的漏洞,并统一管理修复和披露流程。整个流程遵循 CVE、CVSS 等行业标准,并从漏洞信息进入系统起即执行严格保密规定。

修复补丁完成后,将按维护者的意愿回归原项目。若项目已无活跃维护者,Akrites 将作为兜底方介入,确保修复成果能够惠及所有依赖该代码的用户。

摩根大通首席信息安全官 Pat Opet 阐释了背后的逻辑:成功的衡量标准应是修复方案真正部署到生产系统,而非仅仅发布补丁。"AI 已将漏洞发现到被利用之间的时间压缩至近乎实时,这意味着我们也必须压缩从修复到部署的时间。我们应该给维护者一个清晰可靠的信号:经过确认的漏洞、经过充分测试的修复建议,以及一个值得信赖的稳定合作伙伴,而不是一堆重复、矛盾的报告。"

Akrites 面向新成员设有三个层级:Premier 层级面向关键基础设施运营商及其依赖的供应商;General 层级面向希望参与贡献但无法投入大量工程资源的组织;Associate 层级则面向开源基金会和项目,免费加入。

种子资金来自 OpenSSF(开源安全基金会)旗下的 Alpha-Omega 项目,该项目同属 Linux 基金会体系,获得 Anthropic、AWS、谷歌、微软、OpenAI 等机构支持,年度预算超过 700 万美元。微软 Azure 首席技术官 Mark Russinovich 将 Alpha-Omega 视为行业协作成果的有力佐证:"OpenSSF 和 Alpha-Omega 展示了行业携手强化开源安全时所能取得的成就。基于共同创建这些组织的经验,Akrites 应运而生,专门应对 AI 驱动的漏洞发现与防御这一新兴拐点。"

Q&A

Q1:Akrites 是什么组织?它的主要职责是什么?

A:Akrites 是由 Linux 基金会发起成立的开源安全协调机构,创始成员包括 Anthropic、谷歌、微软、OpenAI、AWS 等约 20 家组织。其核心职责是统一协调关键开源软件的漏洞发现、修复和披露工作,避免多方重复报告同一漏洞、导致维护者信息过载的问题,并确保修复方案在漏洞被公开或利用前及时落地。

Q2:AI 工具为什么会让开源安全变得更危险?

A:AI 能够快速扫描大型开源项目并一次性发现多个漏洞,大幅压缩了漏洞从发现到被利用的时间窗口。过去发现严重漏洞需要数周专家工作,现在 AI 可以近实时完成,防御者的反应时间被大幅缩短。与此同时,攻击者也可以使用同样的 AI 工具,因此如何在漏洞被利用前完成修复,成为当前最迫切的挑战。

Q3:Akrites 的资金从哪里来?企业怎么加入?

A:Akrites 的种子资金来自 OpenSSF 旗下的 Alpha-Omega 项目,由 Anthropic、AWS、谷歌、微软、OpenAI 等机构共同支持,年度预算超过 700 万美元。组织设有三个加入层级:Premier 层级面向关键基础设施运营商及核心供应商;General 层级适合希望参与贡献但资源有限的组织;Associate 层级则面向开源基金会和项目,可免费加入。

来源:The New Stack

0赞

好文章,需要你的鼓励

2026

07/13

09:05

分享

点赞

邮件订阅