A mesterséges intelligencia úgy alakítja át a kiberbiztonságot, hogy annak nem minden hatása pozitív. AI-val a biztonsági kutatók minden eddiginél gyorsabban találhatnak szoftverhibákat, de ugyanezt az előnyt megkapják a támadók is. Ezen a problémán próbál segíteni a Linux Foundation új kezdeményezése, az Akrites.

Az Akrites összehangolt erőfeszítés azért, hogy a kritikus nyílt forráskódú szoftvereket még azelőtt biztonságosabbá tegyék, hogy a frissen felfedezett sebezhetőségeket kihasználhatnák. A projekt mögé hosszú névsor sorakozott fel: többek között az Amazon Web Services, az Anthropic, a Cisco, a Google, az IBM, a Microsoft, az NVIDIA, az OpenAI, a Red Hat, a JPMorganChase, a Citi, a Sonatype, a Vodafone, a Zscaler és még jó néhány másik cég.

Ha régóta követed a nyílt forráskódú biztonság témáját, az alapötlet ismerős lehet. A nagyvállalatok gyakran nagyjából egyszerre fedezik fel ugyanazt a sebezhetőséget, majd egymástól függetlenül keresik meg a karbantartókat, vagy dolgozzák ki a saját javításaikat. Így könnyen lesz belőle duplikált jelentés, egymásnak ellentmondó javítócsomag, és rengeteg pluszmunka azoknak a fejlesztőknek, akik sokszor szabadidejükben tartanak karban kritikus szoftvereket.

Az Akrites ezen a folyamaton szeretne rendet tenni. Ahelyett, hogy tucatnyi szervezet dolgozna külön-külön, a kezdeményezés közös Security Incident Response Teamet hoz létre, és egységes, összehangolt sebezhetőség-bejelentési folyamatot vezet be. Elvben így a karbantartók egyetlen megbízható partnerrel dolgoznak, nem pedig egymást átfedő biztonsági jelentések áradatával küzdenek.

Különösen érdekes, hogy az Akrites ígérete szerint „végső menedzserként” is fellép azoknál az elhagyott, de széles körben használt nyílt forráskódú csomagoknál, amelyeknek már nincs aktív gazdájuk. Ez elég merész vállalás. Rengeteg öregedő projekt hajt ma is éles rendszereket világszerte, miközben alig vagy egyáltalán nem foglalkoznak velük.

A sürgősség érthető. Az Akrites mögött álló cégek szerint a fejlett AI-modellek ma már hatalmas kódbázisokat tudnak átfésülni, és percek alatt potenciális sebezhetőségeket találnak. Hogy ezek a képességek végső soron a védőknek vagy a támadóknak kedveznek-e jobban, még nyitott kérdés, de az jól látszik, hogy a biztonság világa nagyon gyorsan változik.

Ennek az erőfeszítésnek szerintem komoly esélye van, de a sikere azon múlik, hogy a független karbantartók mennyire fogadják el. Nyílt forráskódú biztonsági kezdeményezésből sosem volt hiány, főleg vállalati háttérrel. Sokkal nehezebb elnyerni azoknak az önkénteseknek a bizalmát, akik rengeteg olyan projektet tartanak életben, amelyre mindenki más támaszkodik. Ha az Akrites valóban megkönnyíti a munkájukat, és nem csak újabb bürokráciát hoz, fontos szereplővé válhat a nyílt forráskódú biztonsági ökoszisztémában. Ha nem, akkor a lenyűgöző alapító névsor önmagában keveset ér.

Egyelőre egy izgalmas válasz egy nagyon is valós problémára, és érdemes lesz figyelni, hogyan formálja tovább az AI a szoftverbiztonságot.