Die Linux Foundation hat zusammen mit Industriepartnern wie Amazon Web Services, Anthropic, Cisco, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, Red Hat oder der Rust Foundation die Initiative Akrites gegründet, die Open-Source-Software vor der Bedrohung durch KI-gesteuerte Angriffstools schützen soll.
Akrites etabliert ein gemeinsames Security Incident Response Team (SIRT) sowie einen einheitlichen, standardisierten Prozess für die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD), der auf dem Prinzip der vorrangigen Vertraulichkeit basiert. Die Gründungsmitglieder stellen Entwicklerkapazitäten, Sicherheitsexpertise und finanzielle Mittel bereit, um die gemeinsame Open-Source-Software zu härten, auf die Banken, Krankenhäuser, Stromnetze, Telekommunikationsunternehmen, Regierungen und KI-Labore angewiesen sind.
Früher erforderte das Aufspüren und Beheben schwerwiegender Schwachstellen in Open-Source-Software von Angreifern und Verteidigern gleichermaßen umfangreiches Fachwissen. Heute können hochmoderne KI-Modelle ein umfangreiches Open-Source-Projekt durchsuchen und Schwachstellen innerhalb von Minuten aufdecken. Sobald diese Fähigkeiten breit verfügbar sind, erhalten auch Akteure mit böswilligen Absichten, denen zuvor das technische Know-how für komplexe Angriffe fehlte, die nötigen Werkzeuge, um solche Angriffe rasch durchzuführen. Bisherige Sicherheitsreaktionen wurden dieser neuen Bedrohung nur unzureichend gerecht. Viele Schwachstellen wurden mehrfach gefunden und gemeldet, führten zu teils widersprüchlichen Patches und begruben die Maintainer unter einem Schwall von Duplikaten.
Das soll sich nun ändern, indem das Security Incident Response Team des Projekts als zuverlässiger zentraler Ansprechpartner fungiert, der eingehende Meldungen auf ihre Stichhaltigkeit prüft, Doppelmeldungen aussortiert und anschließend die Behebung steuert. Dabei baut es auf etablierten Branchenstandards auf, etwa der Schwachstellen-Kennung CVE, dem Bewertungssystem CVSS für die Schwere einer Lücke oder dem Ampelschema TLP, das regelt, wer welche Informationen sehen darf, auf. Jede Meldung gilt von Beginn an als TLP:RED und ist damit der höchsten Geheimhaltungsstufe zugeordnet. Dies bleibt bestehen solange kein Patch bereitsteht.
Die vorgeschlagenen Patches fließen zun den Bedingungen der jeweiligen Maintainer in das Projekt zurück. Gib es keine aktiven Maintainer mehr, will Akrites diese Rolle hilfsweise übernehmen.
