Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Chainguard će koristiti AI za zaštitu koda otvorenog koda.
- Athena okuplja korisnike otvorenog koda, programere i održavatelje.
- Drugi također koriste umjetnu inteligenciju za zaštitu koda otvorenog koda.
Kao što svi u IT-ju znaju, ili bi ionako trebali znati, AI je otvorio novu frontu u napadu na sigurnost otvorenog koda. Hakiranje je zahtijevalo pravu vještinu. Sada svatko s dovoljno naprednim modelom umjetne inteligencije može otvoriti programe i zaraziti ih zlonamjernim softverom izrađenim po narudžbi umjetne inteligencije. Softverska tvrtka Štitnik lancakoja je specijalizirana za slike spremnika zero-CVE i sigurnosni kod otvorenog koda, udružuje se s drugima kako bi s Athenom pobijedili napadače.
Kao što Chainguard kaže, “Jaz između ranjivost koja je otkrivena i iskorištena urušila se godinama u satea sve veći udio eksploatacija stavlja se u oružje prije nego što se bug ikad javno objavi. Koordinirano otkrivanje izgrađeno je za svijet u kojem je pronalaženje ozbiljne greške trajalo tjednima, a ciljeva je bilo malo. Taj svijet je nestao.” Chainguard je u pravu. Jeste.
Također: Tretirajte svoje AI agente kao željne, ali zavedene ljudske pripravnike – prije nego što izgubite kontrolu
Nešto se moralo učiniti. Kao što je CEO i suosnivač tvrtke, Dan Lorenc, napisao na LinkedInu, imali smo “izbor između dopuštanja da sigurnosni fragment otvorenog koda bude u desetak suparničkih skupova zakrpa koje nitko ne može pomiriti ili raditi tešku, koordiniranu stvar umjesto toga. Rekao sam da će uspjeti samo ako ga izgradimo zajedno i priznao da nemam pojma hoćemo li doista. Evo novosti: industrija se pojavila. Zove se Athena i emitira se uživo.”
Anthony Grieco, Ciscov SVP, glavni službenik za sigurnost i povjerenje, slaže se. “Desetljećima je Cisco pomagao osigurati ekosustav otvorenog izvornog koda. Taj se posao sada suočava s novom hitnošću; granična umjetna inteligencija je ubrzala ciklus otkrivanja ranjivosti izvan onoga za što je tradicionalno koordinirano otkrivanje izgrađeno za rukovanje. Chainguardova Athena Coalition predstavlja važnu evoluciju, koordinaciju obavještajnih podataka o ranjivosti otvorenog koda i obrane tempom koji te prijetnje zahtijevaju.”
Chainguard se kladi na AI kao obrambeni štit
Athena dolazi sa dva dijela. Prvi je koalicija više od dvadesetak tvrtki koje će surađivati u pronalaženju i otklanjanju nedostataka u široko korištenom softveru otvorenog koda korištenjem najsuvremenijih modela umjetne inteligencije. Njegovi pristaše su tko je tko od financijskih i poslovnih infrastrukturnih tvrtki kao što su JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl i PwC.
Također: 5 sigurnosnih taktika koje vaše poslovanje ne može pogriješiti u doba umjetne inteligencije – i zašto su kritične
Te se tvrtke već suočavaju sa strogim regulatornim pritiskom i pritiskom kupaca u vezi s rizikom u lancu nabave softvera. Koalicija im daje način da objedine podatke, sposobnosti umjetne inteligencije i rade na popravku ranjivosti koje se nalaze na njihovim hrpama. Cilj je prijeći s jednokratnih popravaka specifičnih za projekt na koordinirani model u kojem se kritični nedostaci softvera otvorenog koda identificirani AI mogu pronaći i riješiti prije nego što se pojave u knjigama napadača.
Popravljanje nedostataka prije nego što ih napadači mogu pronaći
Tehnički, Athenino temeljno obećanje je brzina. Pronaći će i zakrpati ranjivosti otvorenog koda “prije nego što ih napadači mogu pronaći.” U sklopu programa, sustavi umjetne inteligencije prosijat će ogromne količine koda otvorenog koda i grafikona ovisnosti kako bi označili potencijalne slabosti kako bi se mogle potvrditi i popraviti uzvodno.
Također: 5 načina da ojačate svoju mrežu protiv nove brzine AI napada
Ponekad, međutim, zakrpe nisu dostupne onoliko brzo koliko bismo željeli ili trebali. Kako bi to riješio, Chainguard objašnjava: “Athena slaže neovisne slojeve zaštite tako da pokrivenost postoji čak i tamo gdje čista zakrpa još ne postoji, i ostaje na svakom nedostatku sve dok se ne postavi izdržljivi popravak.”
Ovaj pristup izgleda ovako:
- Otkriće — Provjereni nalazi prikupljeni su iz cijele koalicije, uključujući granične istraživačke programe kao što su Anthropicov Project Glasswing i OpenAI-jev Daybreak. Athena prihvaća nalaze dobivene svim graničnim modelima.
- Ispravak prije embarga — Privatne vilice i obnovljene, poboljšane verzije dostupne su članovima kroz Chainguard knjižnice prije otkrivanja: Nalazi se rješavaju u serijama u cijeloj biblioteci, učvršćujući je protiv cijelih klasa problema, a ne protiv jednog buga. Ako se dogodi da model prvi otkrije grešku, ostaje tih čak i kad se pojavi sposobniji model.
- Kontinuirano usklađivanje — Svaki nalaz se usklađuje s prethodnim aktivnostima tijekom embarga, hvatajući neovisna otkrića i održavajući popravke aktualnima kako projekti napreduju.
- Ublažavanje platforme, mreže i infrastrukture — Partneri koji upravljaju infrastrukturom, platformom, mrežom i sigurnosnim slojevima guraju ublažavanje bez zakrpa prije otkrivanja: potpisi otkrivanja, pravila na razini prometa i blokovi na strani platforme koji neutraliziraju grešku bez da se zahvaćeni softver ikada dodirne, brzinom stroja i širokim dosegom.
- Otkrivanja i ublažavanja dobavljača — Partneri za kibernetičku sigurnost dodaju vlastita otkrivanja, potpise i virtualno krpanje kao daljnji neovisni sloj.
- Uzvodno otkrivanje i hard forkovi — Koalicija vodi koordinirano uzvodno otkrivanje, a Chainguard se nada da će raditi s Linux Foundationom na koordiniranom timu za odgovor na sigurnosne incidente za otvoreni kod i program održavanja zadnjeg utočišta.
Također: Linus Torvalds na AI tvrdi da ga to ljuti, a ono što istraživači sigurnosti nikada ne bi trebali učiniti
Chainguard povezuje inicijativu izravno sa svojom sigurnom po zadanim postavkama linijom proizvoda, koja uključuje međugradnje usklađene sa SLSA Level 3, potpisane artefakte s popisom materijala za softver, minimalne slike i pakete koji se svakodnevno obnavljaju iz izvora kako bi se broj ranjivosti držao blizu nule. Unoseći Athenine nalaze u ovu tvornicu, tvrtka kaže da može brzo isporučiti ojačane spremnike, biblioteke, virtualne strojeve (VM) i pakete otvorenog koda koji uključuju popravke. Istodobno, to korisnicima daje jasan trag porijekla za režime usklađenosti u rasponu od FedRAMP-a i HIPAA-e do EU-ovog Zakona o otpornosti na kibernetičku tehnologiju i NIS2.
Nova fronta u sigurnosnoj utrci AI otvorenog koda
Chainguard i njegovi prijatelji nisu jedini koji pokušavaju okupiti sve na istu stranicu kada je u pitanju osiguranje koda otvorenog koda. IBM i Red Hat bacaju milijarde dolara i tisuće inženjera na problem.
The Open Source Security Foundation (OpenSSF) također radi na OSS-CRS kao novi open-source projekt unutar AI/ML Security Working Group. Ovo je standardni orkestracijski okvir za izgradnju i pokretanje autonomnih sustava za pronalaženje i ispravljanje pogrešaka temeljenih na LLM-u.
Također: Sigurnost otvorenog koda je haos – IBM i Red Hat se klade u 5 milijardi dolara i 20.000 inženjera to može popraviti
Za CISO-e i regulatore koji promatraju razvoj sigurnosne priče o umjetnoj inteligenciji, Athena će biti testni slučaj može li se suradnja proširena umjetnom inteligencijom na ranjivostima otvorenog koda proširiti izvan marketinških slogana u mjerljiva smanjenja grešaka koje se mogu iskoristiti. Osobno, mislim da Chainguard i kompanija to mogu izvesti.
Uostalom, kako je istaknuo Lorenc, “Athena danas radi. Više od 20.000 obrađenih nalaza, 2.000 zakrpa u 500 projekata, prva koordinirana otkrivanja u otprilike mjesec dana.”
Međutim, kao što je Lorenc rekao, “Hoće li biti savršeno? Ne, i nitko se ne bi trebao pretvarati da nije tako. Ali fragmentacija je gora, stajanje na mjestu nije moguće preživjeti, a što je više industrije u njoj, to manje napadačima preostaje pronaći. Pridružite nam se.” Trebala bi. Ako išta može spasiti naš kod, bit će to napori poput Athene.