Linux 基金会 于星期四推出 Akrites，联合了 19 个创始组织——亚马逊、Anthropic、花旗银行、谷歌、摩根大通、微软、NVIDIA、OpenAI 等——以协调在 AI 驱动的攻击者可以利用之前修补关键的开源软件。

这一倡议解决了 AI 所带来的时间问题。前沿模型现在可以扫描一个主要的开源项目，并在几分钟内返回多个确认的漏洞——这项工作过去需要熟练的安全研究人员数周才能完成。正如 Decrypt 报道的那样，Claude Opus 4.8 在一天内发现了 Zcash 的 Orchard 隐私池中的一个关键漏洞，揭露了一个经过四年密码学家审查仍然存在的错误。

如果白帽黑客发现这些漏洞，一切都很好。如果恶意行为者发现，就可能导致非常混乱，非常快。Anthropic 副首席信息安全官 Jason Clinton 在信中表示，现有的协调披露模型“已经被 AI 发现漏洞的速度所超越”——而要在上游达成修复，需要在“漏洞被披露和利用之前对发现进行协调。”



在 Akrites 之前的协调披露模型并未为这种速度而构建。多个组织独立扫描相同的库，并经历漫长的官僚过程才能修复错误——这一过程被所有 19 个创始组织签署的 公开信称为将“维护者埋在噪音中。”

Endor Labs 首席执行官 Varun Badhwar 更进一步表示，在最近几个月 AI 所发现的数千个经过验证的开源漏洞中，“修补的不到 5%。”

Akrites 用一个单一的机密安全事件响应团队替代了这一过程——为维护者提供一个可预测的合作伙伴，而不是一堆没有协调的报告。修复按维护者的条款返回到每个项目的原始代码库，使用漏洞跟踪的标准。当一个关键包没有活跃的维护者时，Akrites 承诺作为最后的维护者介入。

该计划最初是为了防止泄漏——公开信称一个在广泛部署的包中的未披露缺陷是“一种武器。”Rust 基金会首席执行官 Rebecca Rumbul 表示，开源维护者的善意长期以来被视为理所当然，这一倡议将帮助他们进行协调工作。

“Akrites 承诺与上游维护者进行有意义的协调，提供财务和全职支持，以负责任地发现、修复和披露安全漏洞，并从科技和金融领域最有影响力的公司中获得真正的承诺来解决这个问题，”她说。

摩根大通首席信息安全官 Pat Opet 概述了这一努力成功所需的实际要求。“AI 大幅压缩了漏洞发现和利用之间的时间，接近实时，”Opet 说——这意味着对手可以逆向工程已发布的修补程序，并在许多下游系统部署修复之前构建出有效的利用。

根据 Opet 的说法，成功的标准是“修补程序部署，而不是修补程序发布。”

OpenAI 在 Akrites 的三天前 启动了自己的平行努力，Patch the Planet——这是一次首次使用 GPT-5.5-Cyber 和 Trail of Bits 工程师跨越 19 个开源项目的快速冲刺，合并了数十个修补程序。OpenAI 网络安全主管 Clint Gibler 称保证开源“是公司一项长期承诺”，并表示 Akrites 有助于“增强行业间的协调。”

虽然相似，但这两项努力在范围上有所不同：Patch the Planet 专注于 AI 辅助发现和专家人工审查的修补交付；Akrites 建立了一个协调层，负责将验证结果向上游传递到整个行业。

Alpha-Omega，一个由 Linux 基金会指导的基金，将为 Akrites 提供种子资金。该基金自 2022 年以来已向开源安全项目发放超过 70 个总额超过 2000 万美元的赠款。其他组织可以通过在 akrites.org 贡献工程资源或资金加入。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。