Akrites, liên minh 19 tổ chức gồm các hãng AI và ngân hàng lớn, ra mắt nhằm vá lỗ hổng mã nguồn mở trước khi tin tặc dùng AI khai thác, sau khi chưa đến 5% lỗ hổng được AI phát hiện gần đây được sửa.
Linux Foundation chính thức ra mắt Akrites vào thứ Năm, với sự tham gia của 19 tổ chức sáng lập bao gồm Amazon, Anthropic, Citi, Google, JPMorgan Chase, Microsoft, NVIDIA và OpenAI, nhằm điều phối việc vá các lỗ hổng trong phần mềm mã nguồn mở trọng yếu trước khi những kẻ tấn công được hỗ trợ bởi AI có thể khai thác chúng.
Sáng kiến này ra đời để giải quyết một vấn đề về tốc độ mà các mô hình AI tuyến đầu đã làm trở nên cấp bách, khi chúng có thể quét một dự án mã nguồn mở lớn và trả về nhiều lỗ hổng đã được xác nhận chỉ trong vài phút, thay vì nhiều tuần như trước đây.
Một ví dụ điển hình được Decrypt ghi nhận là việc Claude Opus 4.8 phát hiện một lỗ hổng nghiêm trọng trong nhóm quyền riêng tư Orchard của Zcash chỉ trong một ngày, dù lỗi này đã tồn tại qua bốn năm rà soát của các nhà mật mã học.
Mô hình điều phối mới thay thế quy trình cũ
Theo Phó Giám đốc an ninh thông tin của Anthropic, Jason Clinton, mô hình công bố có phối hợp hiện nay đã bị tốc độ phát hiện lỗ hổng của AI vượt qua, khiến các nhà duy trì mã nguồn mở bị “chôn vùi trong tiếng ồn” khi nhiều tổ chức độc lập quét cùng một thư viện rồi trải qua quy trình quan liêu kéo dài trước khi sửa lỗi.
CEO Endor Labs, Varun Badhwar, cho biết trong số hàng nghìn lỗ hổng đã được AI xác thực gần đây, chưa đến 5% đã được vá. Để giải quyết, Akrites thiết lập một Đội ứng phó sự cố bảo mật duy nhất, đóng vai trò đối tác có thể dự đoán được cho các nhà duy trì, đưa bản sửa lỗi trở lại kho mã gốc theo điều kiện của họ và sử dụng các tiêu chuẩn theo dõi lỗ hổng thống nhất. Với các gói phần mềm trọng yếu không còn nhà duy trì hoạt động, Akrites cam kết đóng vai trò nhà duy trì sau cùng.
CEO Rust Foundation, Rebecca Rumbul, nhận định thiện chí của các nhà duy trì mã nguồn mở đã bị xem là điều hiển nhiên quá lâu, và Akrites sẽ giúp họ làm việc theo cách có phối hợp, với hỗ trợ tài chính và nhân lực toàn thời gian để tìm, sửa và công bố lỗ hổng một cách có trách nhiệm.
CISO của JPMorgan Chase, Pat Opet, nhấn mạnh rằng AI đã rút ngắn khoảng thời gian giữa phát hiện và khai thác lỗ hổng xuống gần như theo thời gian thực, khiến đối thủ có thể đảo ngược kỹ thuật một bản vá vừa công bố để khai thác trước khi nhiều hệ thống hạ nguồn kịp triển khai bản sửa lỗi. Theo ông, thước đo thành công thực sự là việc triển khai bản vá, không phải chỉ công bố bản vá.
Ba ngày trước khi Akrites ra mắt, OpenAI cũng khởi động một nỗ lực song song mang tên Patch the Planet, sử dụng GPT-5.5-Cyber cùng các kỹ sư của Trail of Bits để hợp nhất hàng chục bản vá trên 19 dự án mã nguồn mở. Trưởng bộ phận an ninh mạng của OpenAI, Clint Gibler, gọi đây là cam kết dài hạn của công ty và cho biết Akrites sẽ tăng cường sự phối hợp trong toàn ngành.
Hai nỗ lực khác nhau về phạm vi: Patch the Planet tập trung vào phát hiện nhờ AI và chuyển giao bản vá có rà soát của con người, trong khi Akrites xây dựng lớp điều phối để định tuyến các phát hiện đã xác thực lên thượng nguồn trên toàn ngành.
Alpha-Omega, quỹ định hướng thuộc Linux Foundation đã cấp hơn 70 khoản tài trợ với tổng giá trị hơn 20 triệu USD cho bảo mật mã nguồn mở từ năm 2022, sẽ cung cấp vốn hạt giống cho Akrites.
