Искусственный интеллект перевернул баланс между атакующими и защитниками в open source. Раньше эксперту требовались недели, чтобы найти серьёзную уязвимость в крупном проекте. Теперь на это у машины уходят минуты, а ИИ за один проход выдаёт несколько уязвимостей. Та же технология, которая помогает укреплять код, в чужих руках превращает поиск уязвимостей в конвейер. Скорость уже превышает способность мейнтейнеров ставить патчи.
В ответ запускается Akrites — крупнейшая скоординированная попытка в истории. Компании Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft и GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler объединились, чтобы находить, исправлять и ответственно раскрывать уязвимости в критическом open source.
Главная проблема — хаос. Когда десятки компаний независимо сканируют одну библиотеку и подают отчёты, мейнтейнеров заваливают шумом. Чем больше организаций держат неисправленную уязвимость, тем выше риск утечки до выхода фикса.
Akrites предлагает единую конфиденциальную площадку для координации поиска, исправления и раскрытия. Вместо сотни несогласованных отчётов мейнтейнеры получают одного предсказуемого партнёра — выделенную группу Security Incident Response Team. Фиксы возвращаются в каждый проект через самих мейнтейнеров. Если поддержка проекта прекращена, Akrites берёт на себя роль «мейнтейнера последней надежды».
Конфиденциальность здесь жёсткая: нераскрытая ошибка в широко распространённом пакете — это оружие. Успех инициативы измеряется не публикацией патча, а его развёртыванием. Участники вкладывают инженерные ресурсы, экспертизу и финансы. Окно возможности открыто сейчас, но долго оно не продержится. Надо латать общее достояние вместе.