Pular para o conteúdo
Linux Foundation lança Akrites para proteger softwares open source contra ameaças de IA

Linux Foundation lança Akrites para proteger softwares open source contra ameaças de IA

Projeto Akrites reúne gigantes da tecnologia para coordenar a descoberta, correção e divulgação responsável de vulnerabilidades em código aberto.

A Linux Foundation anunciou, em 25 de junho de 2026, o lançamento do Akrites, uma iniciativa coordenada para identificar, corrigir e divulgar vulnerabilidades em projetos de código aberto considerados críticos para a infraestrutura global. O esforço conta com o apoio de empresas como Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone e Zscaler.

O que é o Akrites?

Akrites estabelece um Security Incident Response Team (SIRT) compartilhado e define um processo padronizado de Coordinated Vulnerability Disclosure (CVD), baseado em princípios de confidencialidade e em ferramentas padrão da indústria. Os membros fundadores comprometem recursos de engenharia, expertise em segurança e financiamento para reforçar o código aberto usado por bancos, hospitais, redes elétricas, telecomunicações, governos e laboratórios de IA.

Por que a iniciativa é necessária agora?

Modelos avançados de IA conseguem escanear grandes repositórios de código e identificar falhas em minutos, reduzindo drasticamente o tempo entre descoberta e exploração. Quando essas capacidades se tornam amplamente disponíveis, atores mal-intencionados com pouca experiência técnica podem lançar ataques sofisticados rapidamente. O Akrites visa inverter essa tendência, proporcionando à comunidade um mecanismo rápido e coordenado para corrigir vulnerabilidades antes que sejam exploradas.

Como o Akrites funciona?

  • Coordenação centralizada: um único ponto de contato para relatórios de vulnerabilidades evita a sobrecarga de mantenedores com relatos duplicados ou conflitantes.
  • Confidencialidade: as correções são enviadas diretamente aos projetos originais sob os termos dos mantenedores.
  • Manutenção de última instância: quando um pacote crítico não possui mantenedor ativo, o Akrites assume o papel de mantenedor temporário para garantir que as correções cheguem a todos os usuários.
  • Integração com governos: a iniciativa colabora com esforços públicos para alinhar defensores privados e governamentais.

Financiamento e participação

O fundo Alpha‑Omega, criado pela Linux Foundation, fornece capital semente para o Akrites. Outras organizações que desejarem contribuir com recursos de engenharia ou financiamento podem se inscrever em https://akrites.org.

Declarações dos membros fundadores

  • Matt Wilson (AWS) destaca que “modelos de IA de fronteira dão aos defensores a capacidade de encontrar e corrigir vulnerabilidades em escala nunca antes vista”.
  • Jason Clinton (Anthropic) afirma que “o modelo tradicional de divulgação coordenada foi superado pela velocidade da IA; o Akrites traz a coordenação necessária”.
  • Dan Lorenc (Chainguard) ressalta que “sem coordenação, os patches se fragmentam; o Akrites oferece um caminho unificado para correções upstream”.
  • Vijoy Pandey (Cisco) enfatiza que “defensores não podem perder tempo; a Cisco traz sua expertise em rede e segurança para o Akrites”.
  • Al Tarasiuk (Citi) menciona o compromisso de “construir um framework que identifique e remeda vulnerabilidades, focado em infraestrutura crítica”.
  • Varun Badhwar (Endor Labs) aponta que “menos de 5 % das vulnerabilidades validadas foram corrigidas; o Akrites permite resposta coordenada e confidencial”.
  • Mikko Karikytö (Ericsson) destaca a importância de “financiamento e talento compartilhados para manter o código aberto seguro”.
  • Heather Adkins (Google) reforça que “a descoberta acelerada de vulnerabilidades exige resposta igualmente rápida e coordenada”.
  • Jamie Thomas (IBM) comenta que “uma abordagem de ecossistema é crucial para lidar com o ritmo da IA”.
  • Pat Opet (JPMorgan Chase) foca na métrica “tempo de implantação do patch, não apenas publicação”.
  • Mark Russinovich (Microsoft) destaca a contribuição de “expertise, recursos e tecnologias de IA para identificar e corrigir vulnerabilidades”.
  • David Reber (NVIDIA) ressalta a importância da “transparência e colaboração aberta na era da IA”.
  • Clint Gibler (OpenAI) menciona o programa Patch the Planet como apoio ao Akrites.
  • Mehran Farimani (RapidFort) enfatiza que a solução deve permanecer “aberta, upstream e disponível para todos”.
  • Chris Wright (Red Hat) destaca a construção de uma cadeia de suprimentos de software mais resiliente.
  • Rebecca Rumbul (Rust Foundation) fala sobre “coordenação significativa com mantenedores upstream”.
  • Brian Fox (Sonatype) sublinha que “um único conserto upstream reduz risco para milhares de organizações”.
  • Paul Hopkins (Vodafone) confirma o comprometimento de “expertise e financiamento para proteger softwares críticos”.

Impacto esperado

Ao consolidar esforços de segurança, o Akrites pretende:

  1. Reduzir o tempo entre descoberta de vulnerabilidade e implantação de correções em ambientes críticos.
  2. Minimizar a carga de trabalho dos mantenedores de projetos open source, evitando relatórios duplicados.
  3. Garantir que correções cheguem a infraestruturas essenciais antes que sejam exploradas por agentes maliciosos.

Como participar

Organizações interessadas em contribuir com recursos técnicos ou financeiros podem se inscrever em https://akrites.org. A iniciativa também convida a comunidade a acompanhar a carta aberta “We All Depend on Open Source. We Will Defend It Together”, disponível em https://akrites.org/letter/.

Conclusão

Com a aceleração da descoberta de vulnerabilidades impulsionada por IA, o Akrites representa uma resposta coordenada e confidencial que protege a espinha dorsal digital global. Ao unir gigantes da tecnologia, instituições financeiras e especialistas em segurança, o projeto cria um modelo sustentável para manter o código aberto seguro e confiável.

Por · Última atualização: