Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Linux Foundation запустила Akritis — коалицию для защиты open source от ИИ-атак

Дата публикации: 26-06-2026 11:45:00

Akritis объединит AWS, Google, Microsoft, OpenAI, NVIDIA и банки в едином процессе раскрытия уязвимостей. Разбираем, как устроена инициатива.— Читать дальше «Linux Foundation запустила Akritis — коалицию для защиты open source от ИИ-атак»

Основное содержимое страницы с новостью.

25 июня Linux Foundation представила Akritis — отраслевую программу для поиска, исправления и ответственного раскрытия уязвимостей в open-source проектах. Инициатива призвана опередить ИИ-инструменты, которые уже находят эксплуатируемые баги за минуты и сокращают среднее время до взлома до отрицательных семи дней.

В отличие от существующих коалиций, Akritis не ведёт собственные форки и не навязывает мейнтейнерам корпоративную политику. Её задача — стать единой точкой входа для валидации уязвимостей и согласованных патчей, которые возвращаются в upstream на условиях авторов проектов.

Linux Foundation запустила программу Akritis 25 июня 2026 года.

Участники включают AWS, Anthropic, Google, Microsoft, OpenAI, NVIDIA, IBM, JPMorganChase, GitHub, Red Hat, Sonatype и других.

Цель — единый координированный процесс раскрытия уязвимостей (CVD) в open source до их массовой эксплуатации ИИ-атаками.

Akritis обещает не форкать проекты и выступать «мейнтейнером последней надежды» для заброшенных пакетов.

Первичное финансирование поступает от фонда Alpha-Omega.

Почему это важно

Современные ИИ-модели умеют сканировать большие кодовые базы и находить эксплуатируемые ошибки быстрее человека. По словам генерального директора Linux Foundation Джима Землина, среднее время от обнаружения уязвимости до её эксплуатации теперь составляет «минус семь дней»: к моменту публичного раскрытия злоумышленники уже могут неделю использовать баг.

Раньше для этого требовалась глубокая экспертиза. Сегодня достаточно доступа к передовой языковой модели, чтобы найти и подготовить эксплойт. Это меняет баланс сил в пользу атакующих и перегружает мейнтейнеров потоком дубликатов, конфликтующих отчётов и частных раскрытий из разных источников.

Программа строится вокруг трёх элементов:

  • Единая команда реагирования (SIRT) — доверенный посредник между исследователями и мейнтейнерами, который получает отчёты, проверяет их и координирует исправления.
  • Стандартизированный CVD-процесс — использует CVE, TLP, CWE, CVSS, EPSS, SSVC и VEX для единого языка рисков и статусов уязвимостей.
  • Возврат патчей в upstream — исправления передаются в исходный проект, а не в отдельный форк. Если активного мейнтейнера нет, Akritis временно берёт на себя роль «мейнтейнера последней надежды».

The space is crowded, and the track record is mixed. What I think is genuinely different here is narrow: one coordinated process, so open source maintainers face a single partner instead of a hundred separate reporters.

Mike DolanSVP of Legal, Linux Foundation

Кто участвует

В инициативе участвуют крупнейшие облачные провайдеры, ИИ-лаборатории, банки, телекомы и вендоры безопасности. Среди них — Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler.

Примечательно, что некоторые из них уже имеют собственные программы — например, Chainguard (Athena) и IBM с Red Hat (Project Lightwell). Но Akritis позиционируется не как конкурент, а как общая координационная инфраструктура поверх их работы.

Контекст

The software supply chain is only as strong as the upstream it draws from, and we see how thin that layer really is. Akritis gives the industry one coordinated way to fix vulnerabilities upstream before they’re exploited, with maintainers still in control.

Dan LorencCEO and co-founder, Chainguard

По оценкам Sonatype, одна уязвимая библиотека в центральном репозитории может лежать в основе тысяч организаций. Поэтому единственный upstream-фикс способен снизить риски сразу для целой экосистемы.

Часто задаваемые вопросы

1

Что такое Akritis?

Akritis — инициатива Linux Foundation для координированного поиска, исправления и раскрытия уязвимостей в open-source проектах. Её цель — опередить ИИ-ускоренные атаки на цепочки поставок ПО.

2

Кто финансирует программу?

Первичное финансирование поступает от фонда Alpha-Omega, который уже поддерживает крупные проекты по выявлению и устранению уязвимостей в критическом open-source ПО.

3

Чем Akritis отличается от Athena и Project Lightwell?

Athena Chainguard и Project Lightwell IBM/Red Hat также борются с уязвимостями, но предлагают собственные платформы и инструменты. Akritis фокусируется на едином координационном процессе без форков и без навязывания вендорских решений.

4

Почему ИИ меняет ситуацию с уязвимостями?

ИИ-модели находят баги в коде за минуты и пишут эксплойты без глубокой экспертизы. Это сокращает окно между обнаружением уязвимости и её эксплуатацией до отрицательных значений.

5

Что будет с заброшенными проектами?

Akritis выступает «мейнтейнером последней надежды»: если критический пакет не имеет активного сопровождающего, программа координирует исправления для последних поддерживаемых версий.

Выводы

Akritis — попытка превратить хаотичный поток ИИ-генерированных отчётов об уязвимостях в предсказуемый процесс. Если коалиция сработает, мейнтейнеры получат организованного союзника в тот момент, когда атакующие получают массовый инструментарий для автоматического поиска багов.

Главный риск — не технический, а организационный: заставить десятки конкурентов делиться данными и согласовывать действия быстрее, чем злоумышленники адаптируют свои ИИ-инструменты.

Источник: DevOps.com — Akrites: The latest attempt to protect open source from AI attacks has arrived

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Linux Foundation & Others Launch "Akrites" To Defend Open-Source Software From AI-Enabled Exploits0725-06-2026
2Проект Akrites для координации оперативного устранения уязвимостей0726-06-2026
3immers.cloud запустил Foundation Models: каталог open-source LLM с арендой GPU и без платы за токены5730-06-2026
4OpenAI запустила проект по защите открытого ПО от хакеров5725-06-2026
5Microsoft признала ошибку привязки Copilot к OpenAI и вложит $2,5 млрд в мульти-модельный ИИ0703-07-2026
6Как ограничить расходы на OpenAI API, чтобы ИИ-агенты не сожгли бюджет0804-07-2026
7Сбербанк, "Яндекс", "Газпром нефть", РФПИ, Mail.ru и МТС создали альянс в области ИИ0009-11-2019
8OpenAI хочет передать 5% своих акций правительству США0503-07-2026
9Spy agencies say AI can help combat AI cyber risks. But don’t forget the basics0624-06-2026
10Выпуск DXVK 3.0.1, реализации Direct3D 8/9/10/11 поверх API Vulkan 0705-07-2026

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 7. Источник: tproger.ru.