公开信:共同捍卫开源软件
这是一封关于启动 Akrites 的公开信,Akrites 是一项协调行动,旨在修复全球运行所依赖的开源软件中的漏洞。几十年来,开源一直是科技领域的伟大成就之一,如今这些代码支撑着全球关键基础设施和人们日常依赖的服务,如银行、电信、公用事业等,都运行在相同的开源库之上,整个科技行业的技术栈也都融入了开源软件。
现状:人工智能改变漏洞发现格局
然而,世界已经发生了变化。人工智能打破了攻击者和防御者之间原有的平衡,改变了软件易用性和可复用性的格局。过去,专家需要数周时间才能在一个主要的开源项目中发现一个严重漏洞,而现在机器只需几分钟,且人工智能模型往往一次就能返回多个漏洞。这种既能帮助加固软件的人工智能能力,若落入坏人之手,会使漏洞发现变得像流水线一样高效,加速了漏洞发现的周期,其速度之快已远远超出了维护者修复漏洞的能力,这是当前面临的状况。
计划:Akrites 解决关键问题
今天,宣布一项解决关键开源软件中这一问题的计划——Akrites 是历史上规模最大的协调行动,旨在创建系统并部署工具,利用社区的集体力量保障所有人的安全。亚马逊云科技、Anthropic、Chainguard、思科、花旗集团、Endor Labs、爱立信、谷歌、IBM、摩根大通、微软和 GitHub、英伟达、OpenAI、RapidFort、红帽、Rust 基金会、Sonatype、沃达丰和 Zscaler 等公司加入,共同寻找、修复关键开源软件中的漏洞,并负责任地披露这些漏洞,以支持依赖这些软件的关键基础设施的安全。
问题:缺乏协调使情况恶化
全球很大一部分且比例还在不断增加的技术和依赖的开源软件,由相同组件构建,存在相同潜在缺陷,面临同样加速的漏洞发现速度。没有哪个供应商的防护墙能高到让这个问题与自己无关。以前,安全响应和披露涉及众多组织和团队,他们常常处理相同的问题,有时还会发布相互冲突的补丁或提交多份报告。在这种新环境下,缺乏协调的行动会使问题恶化,浪费宝贵的时间。当数十家公司独立扫描同一个库并各自提交报告时,维护者会被大量无用信息淹没。每一个持有未修复漏洞的额外方都会增加漏洞在修复前泄露的可能性,从而增加所有人面临的风险。
行动:Akrites 采取不同方法
Akrites 承诺采取不同的行动,从上游着手,也就是维护者所在的地方,主动应对这一新现实。这种方法提供了一个保密、值得信赖的地方来协调漏洞发现、修复和披露工作,其速度能与人工智能辅助的攻击者相匹配甚至超越他们。一个共享的、专门的安全事件响应团队为维护者提供了一个单一、可预测的合作伙伴,而不是一百份缺乏协调的报告。
保障:支持下游关键基础设施安全
在 Akrites 从上游修复项目源头问题的同时,承诺支持下游保障关键基础设施安全的工作,防止其被利用。当补丁公开发布后,攻击者能够利用人工智能迅速逆向工程出潜在的漏洞,开发攻击手段并发动攻击。因此,工作的成功将以补丁的部署情况而非发布情况来衡量。将与关键基础设施的所有者和运营者、民间社会力量以及政府合作,加强协调以实现这些目标。
保密:防止漏洞泄露
保密性至关重要:一个广泛部署的软件包中未披露的漏洞实际上就是一种武器,该计划首先要防止漏洞泄露。修复方案会反馈到每个项目自身,与维护者共同协作。Akrites 参与者提供的工程资源和其他能力也将为这一工作做出贡献。此外,当一个关键软件包没有维护者时,Akrites 将作为最后的维护者,确保修复方案能及时送达所有用户。还将与政府工作保持一致,使公共和私人防御力量协同行动,而非各自为政。
贡献:各方投入资源
Akrites 的参与者将贡献工程资源、致力于构建和推出修复方案,或者资助从事这些工作的工程师。一些公司已经做出了巨大贡献,但实际上,需要共同做出更多努力。今天,签署本信的各方承诺投入实际资源,包括工程人才、安全专业知识和资金,来加固共享的软件。几十年来,受益于维护者的杰出工作。作为对开源软件的责任和承诺的一部分,将作为合作伙伴共同应对这一时刻,保障所有人的安全。
时机:领先开源安全风险
现在是领先于新的开源安全风险现实的时机,但这个时机不会一直存在。可以共同应对新风险,同时为开源软件留下支持和承诺的遗产,确保全球技术系统在未来多年的安全。
各方观点
亚马逊云科技副总裁兼杰出工程师马特·威尔逊表示,前沿人工智能模型让防御者能够以前所未有的速度和规模发现并修复开源软件中的漏洞,Akrites 确保能共同抓住这个机会,维护者需要的是协调一致的合作,而不是大量的报告,亚马逊云科技致力于保障客户依赖的项目的安全,并与社区一起构建这个共享的基础设施。
Anthropic 副首席信息安全官杰森·克林顿称,开源项目共同支撑着互联网的大部分内容,而现有的协调披露模式已经跟不上人工智能发现漏洞的速度,要领先于这种情况,行业需要在发现结果上进行协调,并在漏洞披露和被利用之前将修复方案推送到上游,像 Akrites 这样的行动能够在当前所需的规模和速度上推动这种协调。
Chainguard 首席执行官兼联合创始人丹·洛伦茨表示,软件供应链的强度取决于其上游来源,随着人工智能发现更多漏洞,行业将急于修复它们,如果缺乏协调,这些修复方案将分散在不同的补丁和分支中,而维护者已经不堪重负、难以联系,或者多年未接触过某个项目,Akrites 为行业提供了一种协调一致的方式,在漏洞被利用之前从上游进行修复,同时让维护者仍能掌控局面,现在的工作是确保总有一方能够接收这些修复方案。
思科 Outshift 高级副总裁兼总经理维乔伊·潘迪称,过去,专家需要数周时间才能发现一个严重的开源漏洞,而现在机器只需几分钟,当维护者在这场竞赛中失利时,所有人都会受到影响,没有一家公司、一个维护者或一个政府能够独自弥补这个差距,这就是为什么思科将其网络基础设施、安全专业知识和数十年的开源贡献投入到 Akrites 中,因为防御者不能失败,维护者也不能独自应对。
花旗集团首席信息安全官阿尔·塔拉西乌克表示,人工智能模型的进步显著降低了发现和利用漏洞所需的工作量,花旗集团与 Linux 基金会和 Akrites 项目合作,致力于支持开源生态系统,帮助构建一个识别和修复漏洞并分享建议补丁的框架,该倡议专注于保障关键基础设施的安全,是帮助行业应对新兴威胁的重要举措之一。
云原生计算基金会执行董事乔纳森·布莱斯称,开源云原生基础设施是现代生产软件的运营支柱,当一个组件存在漏洞,而这个组件在数千个 Kubernetes 集群和云原生部署中运行时,影响范围将非常大,Akrites 解决了一直以来阻碍大规模修复工作的协调问题,在时间窗口关闭之前,让合适的人带着正确的背景信息进行正确的修复,CNCF 和 OpenInfra 自豪地支持这一将开源生态系统视为共享关键基础设施的行动。
Endor Labs 首席执行官兼联合创始人瓦伦·巴德瓦尔表示,多年来,一直认为发现漏洞并非难事,难的是修复它们,人工智能让这个差距变得无法忽视,在最近几个月发现的数千个经过验证的开源漏洞中,只有不到 5% 得到了修复,Endor Labs 是 Akrites 的创始成员,因为它正是为当前所需的响应而构建的,在上游进行协调修复,保密处理,让维护者掌控局面,使一个值得信赖的修复方案能够送达所有依赖该代码的人。
爱立信首席标准化官佩尔·贝明称,漏洞发现的速度现在已经让维持开源项目的维护者和依赖这些项目的用户应接不暇,缺乏协调的报告、补丁和披露会产生摩擦,使整个生态系统面临风险,没有一个组织能够独自解决这个问题,这就是为什么爱立信作为高级成员加入 Akrites,为保障开源软件的安全和繁荣的共同努力提供资金和人才支持。
谷歌安全工程副总裁希瑟·阿德金斯表示,随着人工智能加速漏洞发现的规模和速度,捍卫开源生态系统需要同样迅速、协调的响应,通过加入 Akrites,将谷歌长期以来对开源安全的承诺与行业专业知识相结合,确保在漏洞被利用之前发现、修复并负责任地披露它们,保障支撑全球关键基础设施的软件安全对于维护我们对数字未来的信任至关重要。
摩根大通首席信息安全官帕特·奥佩特称,人工智能将漏洞发现和利用之间的时间压缩到了近乎实时,这意味着必须缩短从修复到部署的时间,这就是为什么摩根大通正在帮助推动这项以补丁部署而非补丁发布来衡量成功的工作,支持一种机制,使关键基础设施的下游运营者能够在攻击者将披露信息转化为攻击手段之前,让修复方案应用到实际系统中,在上游,应该为维护者提供一个单一、可靠的信号,确认的漏洞、经过充分测试的建议修复方案以及一个他们可以信任的可预测合作伙伴,而不是大量重复、冲突的报告。
IBM 企业安全执行官杰米·托马斯表示,开源软件驱动着每天依赖的系统,从银行和医院到电网和人工智能平台,无所不包,随着前沿人工智能加速漏洞发现,风险已经大到任何一个组织都无法独自应对,这就是为什么采用生态系统方法至关重要,它将社区、技术供应商和企业聚集在一起,确保以当今所需的新速度协作解决漏洞问题。
LF Energy 执行董事亚历克斯·桑顿称,LF Energy 支持行业联合起来,提高能源系统所依赖的开源软件的安全性,项目运行在关键基础设施中,从电网运营和变电站到电动汽车充电网络,因此该软件供应链的完整性至关重要,支持一种协调、对上游友好的方法,与维护者合作,并共同投资保障关键开源组件的安全。
Azure 首席技术官、副首席信息安全官兼技术研究员马克·拉希诺维奇表示,开源安全基金会和 Alpha - Omega 展示了行业联合起来加强开源安全的可能性,基于共同创立这些组织的经验,Akrites 应运而生,以应对人工智能驱动的漏洞发现和防御的新兴转折点,作为创始成员,微软将贡献专业知识、资源和人工智能技术,帮助负责任地识别和修复客户和组织所依赖的开源软件生态系统中的漏洞。
英伟达首席安全官大卫·雷伯称,透明度和开放合作是网络安全社区几十年来保障基础设施安全的方式,在人工智能时代,这些开源基础比以往任何时候都更加重要,开源人工智能是美国创新的引擎,也是部署人工智能时保障安全、信任和透明度以推动这场工业革命的最强大工具之一。
OpenInfra 基金会总经理蒂埃里·卡雷称,人工智能驱动的漏洞发现正在迅速增加开源安全和漏洞管理团队的工作量,仅本季度 OpenStack 社区就发布了 20 份安全公告,而 2025 年全年只有两份,随着报告问题的数量持续增加,OpenInfra 基金会欢迎有助于关键开源基础设施项目在上游有效管理这些不断增加的发现结果的行动。
OpenJS 基金会执行董事罗宾·本德·金表示,OpenJS 基金会认为,提高开源软件的安全性是一项共同责任,随着组织越来越多地使用自动化工具来识别潜在漏洞,协作方法对于验证发现结果、减少无用信息并支持协调修复至关重要,欢迎能够加强行业与维护者之间关系,同时有助于提高开源软件生态系统安全性和弹性的行动。
开源安全基金会总经理史蒂夫·费尔南德斯称,人工智能驱动的漏洞发现的快速节奏是一个新现实,没有一个团队能够独自应对,OpenSSF 坚定支持这一使命,因为它优先考虑共享的开源项目的健康,这种协调的方法使能够保障社区安全,并为未来建立所需的弹性。
PyTorch 基金会执行董事马克·科利尔表示,开源基金会的存在是为了创造条件,让行业能够共同完成单个组织无法独自完成的艰巨任务,安全问题也不例外,人工智能从根本上改变了漏洞发现的局面,单打独斗不仅效率低下,而且很危险,像 Akrites 这样的行动为最广泛的参与和最大的影响力铺平了道路。
RapidFort 首席执行官梅赫兰·法里马尼称,只有当保持工作的开放性、上游性,并让所有依赖它的人都能使用时,开源软件才能发挥作用,应对人工智能驱动的漏洞危机的答案不是在专有壁垒后面分割生态系统,也不是将社区基础变成封闭产品,而应该是进行协调修复,保持原始软件的完整性,与维护者合作,并将修复方案反馈到公共领域,自豪地支持 Akrites 倡议,它符合从内部加强开源生态系统的信念,帮助组织在不进行不必要代码更改的情况下降低风险,并让共享的软件对所有人来说更加安全。
红帽全球工程首席技术官兼高级副总裁克里斯·赖特表示,开源是现代软件创新的基础,捍卫这一基础需要一个协调的、上游社区的响应,能够大规模应对威胁,红帽参与 Akrites 的重点是加强这个上游生态系统,通过公开合作,从源头识别和修补漏洞,帮助为整个行业构建更具弹性的软件供应链。
Rust 基金会执行董事兼首席执行官丽贝卡·伦布尔称,长期以来,上游维护者的善意和责任感在安全响应过程中一直被视为理所当然,Akrites 承诺与上游维护者进行有意义的协调,提供资金和全职支持,以负责任地发现、修复和披露安全漏洞,并得到科技和金融领域最有影响力的公司对解决这一问题的真诚承诺,Rust 基金会期待与 Akrites 合作,开发适应未来的安全方案。
Sonatype 联合创始人兼首席技术官、Maven Central 管理员布莱恩·福克斯表示,Sonatype 每天都能看到现代世界的依赖关系图,一个易受攻击的组件可能会影响数千个组织,这意味着一个上游修复方案可以降低整个生态系统的风险,人工智能可能使漏洞发现变得容易得多,但它并不能自动实现协调修复,Akrites 很重要,因为它为行业提供了一种保密的方式,在上游共同开展这项工作,防止同一个漏洞演变成数千个独立的事件。
沃达丰网络安全与 IT 战略及架构总监保罗·霍普金斯称,随着人工智能快速发现漏洞的能力不断增强,现在是时候联合起来投入资源,保障电信和许多其他行业所依赖的关键开源软件的安全了,作为创始成员,沃达丰已为 Akrites 贡献了专业知识和资金,这项统一的倡议将推动一种协调一致的、全行业的方法,以负责任地识别和修复运行全球依赖系统的软件中的漏洞。
Zscaler 执行副总裁兼首席安全官迪彭·德赛称,人工智能改变了攻防双方的速度,现在可以以机器速度发现漏洞,这意味着防御者也必须同样迅速行动,Akrites 通过更早发现问题、负责任地协调修复工作并将修复方案推送到上游,帮助将这种速度转化为开源生态系统的优势,Zscaler 自豪地成为其中一员。
SketchUp2026 下载安装教程(图文步骤))
