A Linux Foundation anunciou, em 25 de junho de 2026, o lançamento do Akrites, uma iniciativa coordenada para identificar, corrigir e divulgar vulnerabilidades em projetos de código aberto considerados críticos para a infraestrutura global. O esforço conta com o apoio de empresas como Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone e Zscaler.
O que é o Akrites?
Akrites estabelece um Security Incident Response Team (SIRT) compartilhado e define um processo padronizado de Coordinated Vulnerability Disclosure (CVD), baseado em princípios de confidencialidade e em ferramentas padrão da indústria. Os membros fundadores comprometem recursos de engenharia, expertise em segurança e financiamento para reforçar o código aberto usado por bancos, hospitais, redes elétricas, telecomunicações, governos e laboratórios de IA.
Por que a iniciativa é necessária agora?
Modelos avançados de IA conseguem escanear grandes repositórios de código e identificar falhas em minutos, reduzindo drasticamente o tempo entre descoberta e exploração. Quando essas capacidades se tornam amplamente disponíveis, atores mal-intencionados com pouca experiência técnica podem lançar ataques sofisticados rapidamente. O Akrites visa inverter essa tendência, proporcionando à comunidade um mecanismo rápido e coordenado para corrigir vulnerabilidades antes que sejam exploradas.
Como o Akrites funciona?
- Coordenação centralizada: um único ponto de contato para relatórios de vulnerabilidades evita a sobrecarga de mantenedores com relatos duplicados ou conflitantes.
- Confidencialidade: as correções são enviadas diretamente aos projetos originais sob os termos dos mantenedores.
- Manutenção de última instância: quando um pacote crítico não possui mantenedor ativo, o Akrites assume o papel de mantenedor temporário para garantir que as correções cheguem a todos os usuários.
- Integração com governos: a iniciativa colabora com esforços públicos para alinhar defensores privados e governamentais.
Financiamento e participação
O fundo Alpha‑Omega, criado pela Linux Foundation, fornece capital semente para o Akrites. Outras organizações que desejarem contribuir com recursos de engenharia ou financiamento podem se inscrever em https://akrites.org.
Declarações dos membros fundadores
- Matt Wilson (AWS) destaca que “modelos de IA de fronteira dão aos defensores a capacidade de encontrar e corrigir vulnerabilidades em escala nunca antes vista”.
- Jason Clinton (Anthropic) afirma que “o modelo tradicional de divulgação coordenada foi superado pela velocidade da IA; o Akrites traz a coordenação necessária”.
- Dan Lorenc (Chainguard) ressalta que “sem coordenação, os patches se fragmentam; o Akrites oferece um caminho unificado para correções upstream”.
- Vijoy Pandey (Cisco) enfatiza que “defensores não podem perder tempo; a Cisco traz sua expertise em rede e segurança para o Akrites”.
- Al Tarasiuk (Citi) menciona o compromisso de “construir um framework que identifique e remeda vulnerabilidades, focado em infraestrutura crítica”.
- Varun Badhwar (Endor Labs) aponta que “menos de 5 % das vulnerabilidades validadas foram corrigidas; o Akrites permite resposta coordenada e confidencial”.
- Mikko Karikytö (Ericsson) destaca a importância de “financiamento e talento compartilhados para manter o código aberto seguro”.
- Heather Adkins (Google) reforça que “a descoberta acelerada de vulnerabilidades exige resposta igualmente rápida e coordenada”.
- Jamie Thomas (IBM) comenta que “uma abordagem de ecossistema é crucial para lidar com o ritmo da IA”.
- Pat Opet (JPMorgan Chase) foca na métrica “tempo de implantação do patch, não apenas publicação”.
- Mark Russinovich (Microsoft) destaca a contribuição de “expertise, recursos e tecnologias de IA para identificar e corrigir vulnerabilidades”.
- David Reber (NVIDIA) ressalta a importância da “transparência e colaboração aberta na era da IA”.
- Clint Gibler (OpenAI) menciona o programa Patch the Planet como apoio ao Akrites.
- Mehran Farimani (RapidFort) enfatiza que a solução deve permanecer “aberta, upstream e disponível para todos”.
- Chris Wright (Red Hat) destaca a construção de uma cadeia de suprimentos de software mais resiliente.
- Rebecca Rumbul (Rust Foundation) fala sobre “coordenação significativa com mantenedores upstream”.
- Brian Fox (Sonatype) sublinha que “um único conserto upstream reduz risco para milhares de organizações”.
- Paul Hopkins (Vodafone) confirma o comprometimento de “expertise e financiamento para proteger softwares críticos”.
Impacto esperado
Ao consolidar esforços de segurança, o Akrites pretende:
- Reduzir o tempo entre descoberta de vulnerabilidade e implantação de correções em ambientes críticos.
- Minimizar a carga de trabalho dos mantenedores de projetos open source, evitando relatórios duplicados.
- Garantir que correções cheguem a infraestruturas essenciais antes que sejam exploradas por agentes maliciosos.
Como participar
Organizações interessadas em contribuir com recursos técnicos ou financeiros podem se inscrever em https://akrites.org. A iniciativa também convida a comunidade a acompanhar a carta aberta “We All Depend on Open Source. We Will Defend It Together”, disponível em https://akrites.org/letter/.
Conclusão
Com a aceleração da descoberta de vulnerabilidades impulsionada por IA, o Akrites representa uma resposta coordenada e confidencial que protege a espinha dorsal digital global. Ao unir gigantes da tecnologia, instituições financeiras e especialistas em segurança, o projeto cria um modelo sustentável para manter o código aberto seguro e confiável.