Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Chainguard e amigos usarão IA para proteger o código-fonte aberto de invasores.
- Athena usa recursos de usuários, desenvolvedores e mantenedores de código aberto.
- Chainguard não é o único que busca proteger o código-fonte aberto com IA.
Como todos na área de TI sabem, ou deveriam saber, A IA abriu uma nova frente no ataque à segurança do código-fonte aberto. Hackear costumava exigir habilidade actual. Agora, qualquer pessoa com um modelo de IA suficientemente avançado pode abrir programas e infectá-los com malware personalizado de IA. A empresa de software program Protetor de correnteespecializada em imagens de contêiner sem CVE e código-fonte aberto com segurança reforçada, está se unindo a outros para derrotar os invasores com o Athena.
Como diz Chainguard: “A lacuna entre uma vulnerabilidade sendo descoberta e explorada entrou em colapso de anos para horase uma parcela crescente de explorações são transformadas em armas antes que o bug seja divulgado publicamente. A divulgação coordenada foi construída para um mundo em que encontrar uma falha grave levava semanas e os alvos eram poucos. Esse mundo se foi.” Chainguard está certo. É.
Também: Trate seus agentes de IA como estagiários humanos ansiosos, mas equivocados – antes que você perca o controle
Algo tinha que ser feito. Como escreveu o CEO e cofundador da empresa, Dan Lorenc, no LinkedIn, tínhamos uma “escolha entre deixar a segurança de código aberto se fragmentar em uma dúzia de conjuntos de patches rivais que ninguém pode conciliar, ou fazendo a coisa difícil e coordenada em vez de. Eu disse que só funcionaria se construíssemos juntos e admiti que não tinha ideia se realmente o faríamos. Aqui está a atualização: a indústria apareceu. Chama-se Athena e está ao vivo.”
Anthony Grieco, vice-presidente sênior e diretor de segurança e confiança da Cisco, concorda. “Durante décadas, a Cisco ajudou a proteger o ecossistema de código aberto. Esse trabalho agora enfrenta uma nova urgência; a IA de fronteira acelerou o ciclo de descoberta de vulnerabilidades além do que a divulgação coordenada tradicional foi criada para lidar. A Coalizão Athena da Chainguard representa uma evolução importante, a coordenação da inteligência e defesa de vulnerabilidades de código aberto no ritmo que essas ameaças exigem.”
Chainguard aposta na IA como escudo defensivo
Atenas vem com duas partes. A primeira é uma coligação de mais de duas dezenas de empresas que colaborarão para detectar e remediar falhas em software program de código aberto amplamente utilizado, utilizando modelos de IA de ponta. Seus apoiadores são quem é quem em empresas financeiras e de infraestrutura empresarial, como JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl e PwC.
Também: 5 táticas de segurança que sua empresa não pode errar na period da IA – e por que elas são críticas
Estas empresas já enfrentam rigorosas pressões regulatórias e dos clientes em torno do risco da cadeia de fornecimento de software program. A coalizão oferece a eles uma maneira de reunir dados, recursos de IA e trabalho de correção em vulnerabilidades que atravessam suas pilhas. O objetivo é mudar de correções pontuais e específicas do projeto para um modelo coordenado no qual falhas críticas de software program de código aberto identificadas por IA possam ser encontradas e resolvidas antes que apareçam nos manuais dos invasores.
Corrigindo falhas antes que os invasores possam encontrá-las
Tecnicamente, a principal promessa do Athena é a velocidade. Ele encontrará e corrigirá vulnerabilidades de código aberto “antes que os invasores possam encontrá-las”. No âmbito do programa, os sistemas de IA examinarão grandes volumes de código-fonte aberto e gráficos de dependência para sinalizar possíveis pontos fracos, para que possam ser validados e corrigidos no upstream.
Também: 5 maneiras de fortalecer sua rede contra a nova velocidade dos ataques de IA
Às vezes, porém, os patches não estão disponíveis tão rapidamente quanto gostaríamos ou precisamos. Para resolver isso, Chainguard explica: “Athena empilha camadas independentes de proteção para que a cobertura exista mesmo onde um patch limpo ainda não exista, e permaneça em cada falha até que uma correção upstream durável esteja em vigor”.
Essa abordagem é assim:
- Descoberta – As descobertas avaliadas são agrupadas em toda a coalizão, incluindo programas de pesquisa de fronteira, como o Projeto Glasswing da Anthropic e o Dawn da OpenAI. Athena aceita descobertas geradas por todos os modelos de fronteira.
- Correção pré-embargo – Forks privados e versões reconstruídas e reforçadas são disponibilizadas aos membros por meio das Bibliotecas Chainguard antes da divulgação: as descobertas são abordadas em lotes em uma biblioteca inteira, protegendo-a contra lessons inteiras de problemas, em vez de um único bug. Se acontecer de um modelo revelar uma falha primeiro, ele permanecerá silencioso mesmo quando um modelo mais capaz chegar.
- Reconciliação contínua – Cada descoberta é reconciliada com a atividade upstream durante todo o embargo, capturando descobertas independentes e mantendo as correções atualizadas à medida que os projetos avançam.
- Mitigações de plataforma, rede e infraestrutura – Parceiros que operam camadas de infraestrutura, plataforma, rede e segurança promovem mitigações sem patches antes da divulgação: assinaturas de detecção, regras em nível de tráfego e bloqueios no lado da plataforma que neutralizam uma falha sem que o software program afetado seja tocado, na velocidade da máquina e com amplo alcance.
- Detecções e mitigações de fornecedores – Os parceiros de segurança cibernética adicionam suas próprias detecções, assinaturas e patches virtuais como uma camada adicional independente.
- Divulgação upstream e exhausting forks – A coalizão impulsiona a divulgação upstream coordenada, e a Chainguard espera trabalhar com a Linux Basis em uma equipe coordenada de resposta a incidentes de segurança para código aberto e um programa de manutenção de último recurso.
Também: Linus Torvalds sobre a alegação de IA que o deixa irritado e o que os pesquisadores de segurança nunca deveriam fazer
A Chainguard está vinculando a iniciativa diretamente à sua linha de produtos seguros por padrão, que inclui compilações compatíveis com SLSA Nível 3, artefatos assinados com lista de materiais de software program, imagens mínimas e pacotes reconstruídos diariamente a partir da fonte para manter a contagem de vulnerabilidades próxima de zero. Ao alimentar esta fábrica com as descobertas da Athena, a empresa afirma que pode enviar rapidamente contêineres reforçados, bibliotecas, máquinas virtuais (VMs) e pacotes de código aberto que incorporam correções. Simultaneamente, isso dá aos clientes uma trilha clara de origem para regimes de conformidade que vão desde FedRAMP e HIPAA até a Lei de Resiliência Cibernética da UE e NIS2.
Uma nova frente na corrida pela segurança de IA de código aberto
Chainguard e seus amigos não são os únicos que tentam colocar todos na mesma página quando se trata de proteger o código-fonte aberto. A IBM e a Purple Hat estão investindo bilhões de dólares e milhares de engenheiros na solução do problema.
O Fundação de segurança de código aberto (OpenSSF) também está trabalhando OSS-CRS como um novo projeto de código aberto dentro do Grupo de Trabalho de Segurança de AI/ML. Esta é uma estrutura de orquestração padrão para construir e executar sistemas autônomos de localização e correção de bugs baseados em LLM.
Também: A segurança de código aberto é uma bagunça – IBM e Purple Hat apostam US$ 5 bilhões e 20.000 engenheiros podem consertar
Para CISOs e reguladores que acompanham o desenrolar da história da segurança da IA, Athena será um caso de teste para saber se a colaboração aumentada pela IA em vulnerabilidades de código aberto pode ir além dos slogans de advertising para reduções mensuráveis em bugs exploráveis. Pessoalmente, acho que Chainguard e companhia podem conseguir isso.
Afinal, como destacou Lorenc, “o Athena está operacional hoje. Mais de 20 mil descobertas processadas, 2 mil correções em 500 projetos, primeiras divulgações coordenadas em cerca de um mês”.
No entanto, como disse Lorenc: “Será perfeito? Não, e ninguém deve fingir o contrário. Mas a fragmentação é pior, ficar parado não dá sobrevivência, e quanto mais indústria estiver presente, menos qualquer invasor terá para encontrar. Junte-se a nós.” Você deve. Se alguma coisa salvar nosso código, serão esforços como o Athena.
