人工智能加速漏洞发现，多家科技巨头联合启动 Akrites 捍卫开源软件安全

公开信共同捍卫开源软件这是一封关于启动 Akrites 的公开信Akrites 是一项协调行动旨在修复全球运行所依赖的开源软件中的漏洞。几十年来开源一直是科技领域的伟大成就之一如今这些代码支撑着全球关键基础设施和人们日常依赖的服务如银行、电信、公用事业等都运行在相同的开源库之上整个科技行业的技术栈也都融入了开源软件。现状人工智能改变漏洞发现格局然而世界已经发生了变化。人工智能打破了攻击者和防御者之间原有的平衡改变了软件易用性和可复用性的格局。过去专家需要数周时间才能在一个主要的开源项目中发现一个严重漏洞而现在机器只需几分钟且人工智能模型往往一次就能返回多个漏洞。这种既能帮助加固软件的人工智能能力若落入坏人之手会使漏洞发现变得像流水线一样高效加速了漏洞发现的周期其速度之快已远远超出了维护者修复漏洞的能力这是当前面临的状况。计划Akrites 解决关键问题今天宣布一项解决关键开源软件中这一问题的计划——Akrites 是历史上规模最大的协调行动旨在创建系统并部署工具利用社区的集体力量保障所有人的安全。亚马逊云科技、Anthropic、Chainguard、思科、花旗集团、Endor Labs、爱立信、谷歌、IBM、摩根大通、微软和 GitHub、英伟达、OpenAI、RapidFort、红帽、Rust 基金会、Sonatype、沃达丰和 Zscaler 等公司加入共同寻找、修复关键开源软件中的漏洞并负责任地披露这些漏洞以支持依赖这些软件的关键基础设施的安全。问题缺乏协调使情况恶化全球很大一部分且比例还在不断增加的技术和依赖的开源软件由相同组件构建存在相同潜在缺陷面临同样加速的漏洞发现速度。没有哪个供应商的防护墙能高到让这个问题与自己无关。以前安全响应和披露涉及众多组织和团队他们常常处理相同的问题有时还会发布相互冲突的补丁或提交多份报告。在这种新环境下缺乏协调的行动会使问题恶化浪费宝贵的时间。当数十家公司独立扫描同一个库并各自提交报告时维护者会被大量无用信息淹没。每一个持有未修复漏洞的额外方都会增加漏洞在修复前泄露的可能性从而增加所有人面临的风险。行动Akrites 采取不同方法Akrites 承诺采取不同的行动从上游着手也就是维护者所在的地方主动应对这一新现实。这种方法提供了一个保密、值得信赖的地方来协调漏洞发现、修复和披露工作其速度能与人工智能辅助的攻击者相匹配甚至超越他们。一个共享的、专门的安全事件响应团队为维护者提供了一个单一、可预测的合作伙伴而不是一百份缺乏协调的报告。保障支持下游关键基础设施安全在 Akrites 从上游修复项目源头问题的同时承诺支持下游保障关键基础设施安全的工作防止其被利用。当补丁公开发布后攻击者能够利用人工智能迅速逆向工程出潜在的漏洞开发攻击手段并发动攻击。因此工作的成功将以补丁的部署情况而非发布情况来衡量。将与关键基础设施的所有者和运营者、民间社会力量以及政府合作加强协调以实现这些目标。保密防止漏洞泄露保密性至关重要一个广泛部署的软件包中未披露的漏洞实际上就是一种武器该计划首先要防止漏洞泄露。修复方案会反馈到每个项目自身与维护者共同协作。Akrites 参与者提供的工程资源和其他能力也将为这一工作做出贡献。此外当一个关键软件包没有维护者时Akrites 将作为最后的维护者确保修复方案能及时送达所有用户。还将与政府工作保持一致使公共和私人防御力量协同行动而非各自为政。贡献各方投入资源Akrites 的参与者将贡献工程资源、致力于构建和推出修复方案或者资助从事这些工作的工程师。一些公司已经做出了巨大贡献但实际上需要共同做出更多努力。今天签署本信的各方承诺投入实际资源包括工程人才、安全专业知识和资金来加固共享的软件。几十年来受益于维护者的杰出工作。作为对开源软件的责任和承诺的一部分将作为合作伙伴共同应对这一时刻保障所有人的安全。时机领先开源安全风险现在是领先于新的开源安全风险现实的时机但这个时机不会一直存在。可以共同应对新风险同时为开源软件留下支持和承诺的遗产确保全球技术系统在未来多年的安全。各方观点亚马逊云科技副总裁兼杰出工程师马特·威尔逊表示前沿人工智能模型让防御者能够以前所未有的速度和规模发现并修复开源软件中的漏洞Akrites 确保能共同抓住这个机会维护者需要的是协调一致的合作而不是大量的报告亚马逊云科技致力于保障客户依赖的项目的安全并与社区一起构建这个共享的基础设施。Anthropic 副首席信息安全官杰森·克林顿称开源项目共同支撑着互联网的大部分内容而现有的协调披露模式已经跟不上人工智能发现漏洞的速度要领先于这种情况行业需要在发现结果上进行协调并在漏洞披露和被利用之前将修复方案推送到上游像 Akrites 这样的行动能够在当前所需的规模和速度上推动这种协调。Chainguard 首席执行官兼联合创始人丹·洛伦茨表示软件供应链的强度取决于其上游来源随着人工智能发现更多漏洞行业将急于修复它们如果缺乏协调这些修复方案将分散在不同的补丁和分支中而维护者已经不堪重负、难以联系或者多年未接触过某个项目Akrites 为行业提供了一种协调一致的方式在漏洞被利用之前从上游进行修复同时让维护者仍能掌控局面现在的工作是确保总有一方能够接收这些修复方案。思科 Outshift 高级副总裁兼总经理维乔伊·潘迪称过去专家需要数周时间才能发现一个严重的开源漏洞而现在机器只需几分钟当维护者在这场竞赛中失利时所有人都会受到影响没有一家公司、一个维护者或一个政府能够独自弥补这个差距这就是为什么思科将其网络基础设施、安全专业知识和数十年的开源贡献投入到 Akrites 中因为防御者不能失败维护者也不能独自应对。花旗集团首席信息安全官阿尔·塔拉西乌克表示人工智能模型的进步显著降低了发现和利用漏洞所需的工作量花旗集团与 Linux 基金会和 Akrites 项目合作致力于支持开源生态系统帮助构建一个识别和修复漏洞并分享建议补丁的框架该倡议专注于保障关键基础设施的安全是帮助行业应对新兴威胁的重要举措之一。云原生计算基金会执行董事乔纳森·布莱斯称开源云原生基础设施是现代生产软件的运营支柱当一个组件存在漏洞而这个组件在数千个 Kubernetes 集群和云原生部署中运行时影响范围将非常大Akrites 解决了一直以来阻碍大规模修复工作的协调问题在时间窗口关闭之前让合适的人带着正确的背景信息进行正确的修复CNCF 和 OpenInfra 自豪地支持这一将开源生态系统视为共享关键基础设施的行动。Endor Labs 首席执行官兼联合创始人瓦伦·巴德瓦尔表示多年来一直认为发现漏洞并非难事难的是修复它们人工智能让这个差距变得无法忽视在最近几个月发现的数千个经过验证的开源漏洞中只有不到 5% 得到了修复Endor Labs 是 Akrites 的创始成员因为它正是为当前所需的响应而构建的在上游进行协调修复保密处理让维护者掌控局面使一个值得信赖的修复方案能够送达所有依赖该代码的人。爱立信首席标准化官佩尔·贝明称漏洞发现的速度现在已经让维持开源项目的维护者和依赖这些项目的用户应接不暇缺乏协调的报告、补丁和披露会产生摩擦使整个生态系统面临风险没有一个组织能够独自解决这个问题这就是为什么爱立信作为高级成员加入 Akrites为保障开源软件的安全和繁荣的共同努力提供资金和人才支持。谷歌安全工程副总裁希瑟·阿德金斯表示随着人工智能加速漏洞发现的规模和速度捍卫开源生态系统需要同样迅速、协调的响应通过加入 Akrites将谷歌长期以来对开源安全的承诺与行业专业知识相结合确保在漏洞被利用之前发现、修复并负责任地披露它们保障支撑全球关键基础设施的软件安全对于维护我们对数字未来的信任至关重要。摩根大通首席信息安全官帕特·奥佩特称人工智能将漏洞发现和利用之间的时间压缩到了近乎实时这意味着必须缩短从修复到部署的时间这就是为什么摩根大通正在帮助推动这项以补丁部署而非补丁发布来衡量成功的工作支持一种机制使关键基础设施的下游运营者能够在攻击者将披露信息转化为攻击手段之前让修复方案应用到实际系统中在上游应该为维护者提供一个单一、可靠的信号确认的漏洞、经过充分测试的建议修复方案以及一个他们可以信任的可预测合作伙伴而不是大量重复、冲突的报告。IBM 企业安全执行官杰米·托马斯表示开源软件驱动着每天依赖的系统从银行和医院到电网和人工智能平台无所不包随着前沿人工智能加速漏洞发现风险已经大到任何一个组织都无法独自应对这就是为什么采用生态系统方法至关重要它将社区、技术供应商和企业聚集在一起确保以当今所需的新速度协作解决漏洞问题。LF Energy 执行董事亚历克斯·桑顿称LF Energy 支持行业联合起来提高能源系统所依赖的开源软件的安全性项目运行在关键基础设施中从电网运营和变电站到电动汽车充电网络因此该软件供应链的完整性至关重要支持一种协调、对上游友好的方法与维护者合作并共同投资保障关键开源组件的安全。Azure 首席技术官、副首席信息安全官兼技术研究员马克·拉希诺维奇表示开源安全基金会和 Alpha - Omega 展示了行业联合起来加强开源安全的可能性基于共同创立这些组织的经验Akrites 应运而生以应对人工智能驱动的漏洞发现和防御的新兴转折点作为创始成员微软将贡献专业知识、资源和人工智能技术帮助负责任地识别和修复客户和组织所依赖的开源软件生态系统中的漏洞。英伟达首席安全官大卫·雷伯称透明度和开放合作是网络安全社区几十年来保障基础设施安全的方式在人工智能时代这些开源基础比以往任何时候都更加重要开源人工智能是美国创新的引擎也是部署人工智能时保障安全、信任和透明度以推动这场工业革命的最强大工具之一。OpenInfra 基金会总经理蒂埃里·卡雷称人工智能驱动的漏洞发现正在迅速增加开源安全和漏洞管理团队的工作量仅本季度 OpenStack 社区就发布了 20 份安全公告而 2025 年全年只有两份随着报告问题的数量持续增加OpenInfra 基金会欢迎有助于关键开源基础设施项目在上游有效管理这些不断增加的发现结果的行动。OpenJS 基金会执行董事罗宾·本德·金表示OpenJS 基金会认为提高开源软件的安全性是一项共同责任随着组织越来越多地使用自动化工具来识别潜在漏洞协作方法对于验证发现结果、减少无用信息并支持协调修复至关重要欢迎能够加强行业与维护者之间关系同时有助于提高开源软件生态系统安全性和弹性的行动。开源安全基金会总经理史蒂夫·费尔南德斯称人工智能驱动的漏洞发现的快速节奏是一个新现实没有一个团队能够独自应对OpenSSF 坚定支持这一使命因为它优先考虑共享的开源项目的健康这种协调的方法使能够保障社区安全并为未来建立所需的弹性。PyTorch 基金会执行董事马克·科利尔表示开源基金会的存在是为了创造条件让行业能够共同完成单个组织无法独自完成的艰巨任务安全问题也不例外人工智能从根本上改变了漏洞发现的局面单打独斗不仅效率低下而且很危险像 Akrites 这样的行动为最广泛的参与和最大的影响力铺平了道路。RapidFort 首席执行官梅赫兰·法里马尼称只有当保持工作的开放性、上游性并让所有依赖它的人都能使用时开源软件才能发挥作用应对人工智能驱动的漏洞危机的答案不是在专有壁垒后面分割生态系统也不是将社区基础变成封闭产品而应该是进行协调修复保持原始软件的完整性与维护者合作并将修复方案反馈到公共领域自豪地支持 Akrites 倡议它符合从内部加强开源生态系统的信念帮助组织在不进行不必要代码更改的情况下降低风险并让共享的软件对所有人来说更加安全。红帽全球工程首席技术官兼高级副总裁克里斯·赖特表示开源是现代软件创新的基础捍卫这一基础需要一个协调的、上游社区的响应能够大规模应对威胁红帽参与 Akrites 的重点是加强这个上游生态系统通过公开合作从源头识别和修补漏洞帮助为整个行业构建更具弹性的软件供应链。Rust 基金会执行董事兼首席执行官丽贝卡·伦布尔称长期以来上游维护者的善意和责任感在安全响应过程中一直被视为理所当然Akrites 承诺与上游维护者进行有意义的协调提供资金和全职支持以负责任地发现、修复和披露安全漏洞并得到科技和金融领域最有影响力的公司对解决这一问题的真诚承诺Rust 基金会期待与 Akrites 合作开发适应未来的安全方案。Sonatype 联合创始人兼首席技术官、Maven Central 管理员布莱恩·福克斯表示Sonatype 每天都能看到现代世界的依赖关系图一个易受攻击的组件可能会影响数千个组织这意味着一个上游修复方案可以降低整个生态系统的风险人工智能可能使漏洞发现变得容易得多但它并不能自动实现协调修复Akrites 很重要因为它为行业提供了一种保密的方式在上游共同开展这项工作防止同一个漏洞演变成数千个独立的事件。沃达丰网络安全与 IT 战略及架构总监保罗·霍普金斯称随着人工智能快速发现漏洞的能力不断增强现在是时候联合起来投入资源保障电信和许多其他行业所依赖的关键开源软件的安全了作为创始成员沃达丰已为 Akrites 贡献了专业知识和资金这项统一的倡议将推动一种协调一致的、全行业的方法以负责任地识别和修复运行全球依赖系统的软件中的漏洞。Zscaler 执行副总裁兼首席安全官迪彭·德赛称人工智能改变了攻防双方的速度现在可以以机器速度发现漏洞这意味着防御者也必须同样迅速行动Akrites 通过更早发现问题、负责任地协调修复工作并将修复方案推送到上游帮助将这种速度转化为开源生态系统的优势Zscaler 自豪地成为其中一员。