https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

Linux 基金會啟動Akrites計畫,因應AI加速漏洞發現與利用的威脅

2026 / 07 / 01
編輯部
Linux 基金會啟動Akrites計畫,因應AI加速漏洞發現與利用的威脅
Linux 基金會宣布啟動 Akrites 產業合作計畫,匯集科技公司、金融機構、資安廠商、AI 公司與開源專案,旨在為廣泛使用的開源軟體建立一致的漏洞修補與揭露機制。

背景與動機

Akrites 的成立背景在於:AI 技術正在縮短漏洞從被發現到遭利用的時間窗口。許多關鍵開源專案由小型維護團隊負責,卻被數千個組織廣泛採用,涵蓋金融、醫療、電信、能源、政府及 AI 基礎設施等領域。隨著前沿 AI 模型加速漏洞發現與漏洞利用程式的開發,單一組織已難以獨力應對如此規模的風險。

IBM 企業資安主管 Jamie Thomas 指出,開源軟體支撐銀行、醫院、電網與 AI 平台等日常依賴的系統。因此,需要以生態系層級整合社群、技術提供者與企業,確保漏洞能以所需的速度獲得處理。

運作機制

Akrites 建立共用的資安事件應變團隊(Security Incident Response Team,SIRT)與協調漏洞揭露(Coordinated Vulnerability Disclosure,CVD)流程。參與組織將採用一致的工作流程與業界標準工具,交換漏洞資訊、管理修補進度,並在修補方案就緒前協調揭露時程。

該計畫提供從漏洞回報到公開揭露的完整操作支援,涵蓋接收回報、指派應變團隊、管理修補、通知受影響組織,以及在公開揭露前準備資安公告等流程。

創始成員

Akrites 的創始成員包括 Amazon Web Services、Anthropic、Cisco、Citi、Endor Labs、Ericsson、GitHub、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Sonatype、Vodafone 及 Zscaler。

Amazon Web Services 副總裁暨傑出工程師 Matt Wilson 表示,前沿 AI 模型已讓防禦方具備過去從未有過的速度與規模,能在開源軟體中發現並修復漏洞;而 Akrites 則確保各方能集體把握這個機會。他強調,開源維護者需要的是有組織的夥伴關係,而非大量零散的漏洞回報。

與既有計畫的關係

Akrites 建立在 Linux 基金會既有的資安工作基礎之上,包括資助關鍵開源專案資安改善的 Alpha-Omega,以及為開源生態系開發資安標準與工具的開源安全基金會(OpenSSF)。Akrites 在此基礎上,新增了針對公開揭露前漏洞處理的協調式事件應變能力。

Microsoft Azure 技術長暨副資安長 Mark Russinovich 表示,OpenSSF 與 Alpha-Omega 已證明產業協作能強化開源資安;Akrites 則在此基礎上,進一步回應 AI 驅動的漏洞發現與防禦所帶來、日益增長的影響。Microsoft 與 GitHub 將以創始成員身份,貢獻專業知識、資源與 AI 技術,協助識別並修復開源軟體生態系中的漏洞。

本文轉載自 HelpNetSecurity。