Chainguard, firma de securitate a lanțului de aprovizionare software, a lansat luni Athena, o coaliție din industrie formată din peste două duzini de organizații, cu scopul de a identifica și remedia vulnerabilitățile din software-ul open source înainte ca atacatorii să le poată exploata. Din coaliție fac parte Cisco, Cloudflare, JPMorgan Chase, BNY, Docker și PwC, printre altele.
Inițiativa apare într-un moment în care descoperirea vulnerabilităților prin inteligență artificială a accelerat dramatic ritmul în care sunt identificate defecte în software-ul utilizat pe scară largă — depășind capacitatea de reacție a echipelor umane de întreținere.
Un răspuns la valul de vulnerabilități generate de AI
Lansarea Athena vine la aproximativ două luni după ce Anthropic a dezvăluit Proiectul Glasswing și modelul său Claude Mythos Preview, care a demonstrat capacitatea de a descoperi autonom mii de vulnerabilități zero-day în toate sistemele de operare și browserele web majore. Acel anunț a produs unde de șoc în industria de securitate, directorii CISO tratându-l ca pe un punct de cotitură ce impunea noi abordări de colaborare.
Coaliția reunește descoperirile de vulnerabilități ale organizațiilor membre — inclusiv cele obținute prin programe AI de frontieră precum Proiectul Glasswing al Anthropic și Daybreak al OpenAI — și le remediază sub embargo, asigurând că defectele sunt corectate înainte de a deveni publice. Potrivit Chainguard, Athena a procesat deja peste 20.000 de descoperiri și a livrat mai mult de 2.000 de patch-uri în 500 de proiecte open source, urmând ca primul val de dezvăluire coordonată să aibă loc luna viitoare.
Abordarea blocajului din Open Source
Coaliția vizează ceea ce cercetătorii în securitate au identificat ca punct critic de vulnerabilitate în ecosistem: menținătorii de proiecte open source, care lucrează adesea ca voluntari neplătiți și nu pot ține pasul cu descoperirea vulnerabilităților la viteza mașinilor. Așa cum a remarcat Chainguard în aprilie, „Inteligența artificială poate descoperi vulnerabilități la viteza mașinilor, dar oamenii care întrețin cele mai critice proiecte open source din lume funcționează încă la viteza omului”.
Problema este agravată de o creștere simultană a atacurilor asupra lanțului de aprovizionare software. În ultimele luni, campanii de malware au compromis pachete populare, inclusiv biblioteci npm cu milioane de descărcări săptămânale, punând organizațiile într-un paradox: aplicarea prea lentă a corecțiilor le lasă expuse la exploatări, în timp ce aplicarea lor prea rapidă riscă să introducă cod compromis.
Chainguard, care a strâns aproape 900 de milioane de dolari în finanțare, își poziționează Athena ca un complement al imaginilor și bibliotecilor sale de containere sigure în mod implicit. Modelul coaliției — centralizarea descoperirii vulnerabilităților, coordonarea remedierilor sub embargo și divulgarea acestora doar după ce patch-urile sunt disponibile — reprezintă o încercare de a oferi apărătorilor avansul pe care termenele de divulgare tot mai scurte l-au erodat.
Surse: