Akritis объединит AWS, Google, Microsoft, OpenAI, NVIDIA и банки в едином процессе раскрытия уязвимостей. Разбираем, как устроена инициатива.— Читать дальше «Linux Foundation запустила Akritis — коалицию для защиты open source от ИИ-атак»
25 июня Linux Foundation представила Akritis — отраслевую программу для поиска, исправления и ответственного раскрытия уязвимостей в open-source проектах. Инициатива призвана опередить ИИ-инструменты, которые уже находят эксплуатируемые баги за минуты и сокращают среднее время до взлома до отрицательных семи дней.
В отличие от существующих коалиций, Akritis не ведёт собственные форки и не навязывает мейнтейнерам корпоративную политику. Её задача — стать единой точкой входа для валидации уязвимостей и согласованных патчей, которые возвращаются в upstream на условиях авторов проектов.
Linux Foundation запустила программу Akritis 25 июня 2026 года.
Участники включают AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, IBM, JPMorganChase, GitHub, Red Hat, Sonatype и других.
Цель — единый координированный процесс раскрытия уязвимостей (CVD) в open source до их массовой эксплуатации ИИ-атаками.
Akritis обещает не форкать проекты и выступать «мейнтейнером последней надежды» для заброшенных пакетов.
Первичное финансирование поступает от фонда Alpha-Omega.
Современные ИИ-модели умеют сканировать большие кодовые базы и находить эксплуатируемые ошибки быстрее человека. По словам генерального директора Linux Foundation Джима Землина, среднее время от обнаружения уязвимости до её эксплуатации теперь составляет «минус семь дней»: к моменту публичного раскрытия злоумышленники уже могут неделю использовать баг.
Раньше для этого требовалась глубокая экспертиза. Сегодня достаточно доступа к передовой языковой модели, чтобы найти и подготовить эксплойт. Это меняет баланс сил в пользу атакующих и перегружает мейнтейнеров потоком дубликатов, конфликтующих отчётов и частных раскрытий из разных источников.
Программа строится вокруг трёх элементов:
The space is crowded, and the track record is mixed. What I think is genuinely different here is narrow: one coordinated process, so open source maintainers face a single partner instead of a hundred separate reporters.
Mike DolanSVP of Legal, Linux Foundation
В инициативе участвуют крупнейшие облачные провайдеры, ИИ-лаборатории, банки, телекомы и вендоры безопасности. Среди них — Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler.
Примечательно, что некоторые из них уже имеют собственные программы — например, Chainguard (Athena) и IBM с Red Hat (Project Lightwell). Но Akritis позиционируется не как конкурент, а как общая координационная инфраструктура поверх их работы.
The software supply chain is only as strong as the upstream it draws from, and we see how thin that layer really is. Akritis gives the industry one coordinated way to fix vulnerabilities upstream before they’re exploited, with maintainers still in control.
Dan LorencCEO and co-founder, Chainguard
По оценкам Sonatype, одна уязвимая библиотека в центральном репозитории может лежать в основе тысяч организаций. Поэтому единственный upstream-фикс способен снизить риски сразу для целой экосистемы.
Часто задаваемые вопросы
1
Что такое Akritis?
Akritis — инициатива Linux Foundation для координированного поиска, исправления и раскрытия уязвимостей в open-source проектах. Её цель — опередить ИИ-ускоренные атаки на цепочки поставок ПО.
2
Кто финансирует программу?
Первичное финансирование поступает от фонда Alpha-Omega, который уже поддерживает крупные проекты по выявлению и устранению уязвимостей в критическом open-source ПО.
3
Чем Akritis отличается от Athena и Project Lightwell?
Athena Chainguard и Project Lightwell IBM/Red Hat также борются с уязвимостями, но предлагают собственные платформы и инструменты. Akritis фокусируется на едином координационном процессе без форков и без навязывания вендорских решений.
4
Почему ИИ меняет ситуацию с уязвимостями?
ИИ-модели находят баги в коде за минуты и пишут эксплойты без глубокой экспертизы. Это сокращает окно между обнаружением уязвимости и её эксплуатацией до отрицательных значений.
5
Что будет с заброшенными проектами?
Akritis выступает «мейнтейнером последней надежды»: если критический пакет не имеет активного сопровождающего, программа координирует исправления для последних поддерживаемых версий.
Akritis — попытка превратить хаотичный поток ИИ-генерированных отчётов об уязвимостях в предсказуемый процесс. Если коалиция сработает, мейнтейнеры получат организованного союзника в тот момент, когда атакующие получают массовый инструментарий для автоматического поиска багов.
Главный риск — не технический, а организационный: заставить десятки конкурентов делиться данными и согласовывать действия быстрее, чем злоумышленники адаптируют свои ИИ-инструменты.
Источник: DevOps.com — Akrites: The latest attempt to protect open source from AI attacks has arrived
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Linux Foundation & Others Launch "Akrites" To Defend Open-Source Software From AI-Enabled Exploits | 0 | 7 | 25-06-2026 |
| 2 | Проект Akrites для координации оперативного устранения уязвимостей | 0 | 7 | 26-06-2026 |
| 3 | immers.cloud запустил Foundation Models: каталог open-source LLM с арендой GPU и без платы за токены | 5 | 7 | 30-06-2026 |
| 4 | OpenAI запустила проект по защите открытого ПО от хакеров | 5 | 7 | 25-06-2026 |
| 5 | Microsoft признала ошибку привязки Copilot к OpenAI и вложит $2,5 млрд в мульти-модельный ИИ | 0 | 7 | 03-07-2026 |
| 6 | Как ограничить расходы на OpenAI API, чтобы ИИ-агенты не сожгли бюджет | 0 | 8 | 04-07-2026 |
| 7 | Сбербанк, "Яндекс", "Газпром нефть", РФПИ, Mail.ru и МТС создали альянс в области ИИ | 0 | 0 | 09-11-2019 |
| 8 | OpenAI хочет передать 5% своих акций правительству США | 0 | 5 | 03-07-2026 |
| 9 | Spy agencies say AI can help combat AI cyber risks. But don’t forget the basics | 0 | 6 | 24-06-2026 |
| 10 | Выпуск DXVK 3.0.1, реализации Direct3D 8/9/10/11 поверх API Vulkan | 0 | 7 | 05-07-2026 |