קואליציית Athena החדשה של Chainguard משתמשת ב-AI כדי לתקן פגמים בקוד פתוח – לפני שתוקפים מנצלים אותם

עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.

נקודות המפתח של ZDNET

• Chainguard ישתמש בבינה מלאכותית כדי להגן על קוד פתוח.
• Athena מאגדת משתמשי קוד פתוח, מפתחים ומתחזקים.
• אחרים משתמשים גם ב-AI כדי לאבטח קוד פתוח.

כפי שכולם ב-IT יודעים, או צריכים לדעת בכל מקרה, AI פתחה חזית חדשה בתקיפת אבטחת קוד פתוח. פריצה נהגה לדרוש מיומנות אמיתית. כעת, כל מי שיש לו מודל AI מתקדם מספיק יכול לחטט בתוכניות פתוחות ולהדביק אותן בתוכנות זדוניות מותאמות אישית בינה מלאכותית. חברת התוכנה מגן שרשרתהמתמחה ב תמונות מיכל אפס-CVE וקוד קוד פתוח מוקשה באבטחה, מצטרף עם אחרים כדי להכות את התוקפים עד הסוף עם אתנה.

כפי שמגדיר זאת צ'יינגארד, "הפער בין פגיעות שהתגלתה ומנוצלת קרסה משנים לשעותונתח גדל והולך של ניצולים מופעלים בנשק לפני שהבאג אי פעם יחשף בפומבי. גילוי מתואם נבנה עבור עולם שבו מציאת פגם חמור לקח שבועות, והמטרות היו מעטות. העולם הזה נעלם." שומר השרשרת צודק. זה כן.

גַם: התייחסו לסוכני ה-AI שלכם כאל מתמחים אנושיים נלהבים אך מוטעים – לפני שאתם מאבדים שליטה

היה צריך לעשות משהו. כפי שכתב המנכ"ל והמייסד המשותף של החברה, דן לורנץ, בלינקדאין, הייתה לנו "בחירה בין לתת לקוד פתוח קטע אבטחה לתריסר ערכות תיקונים מתחרות שאף אחד לא יכול ליישב, או עושה את הדבר הקשה והמתואם במקום זאת. אמרתי שזה יעבוד רק אם נבנה את זה ביחד, והודיתי שאין לי מושג אם באמת נצליח. הנה העדכון: התעשייה הופיעה. זה נקרא אתנה, וזה חי".

אנתוני גריקו, סמנכ"ל סיסקו, סמנכ"ל האבטחה והנאמנות, מסכים. "במשך עשרות שנים סיסקו סייעה לאבטח את המערכת האקולוגית של הקוד הפתוח. העבודה הזו עומדת כעת בפני דחיפות חדשה; בינה מלאכותית גבולית האיצה את מחזור גילוי הפגיעות מעבר למה שהגילוי המתואם המסורתי נבנה לטפל בו. קואליציית אתנה של Chainguard מייצגת אבולוציה חשובה, התיאום של מודיעין פגיעות בקוד פתוח מחייב את המודיעין והאיומים הללו בהתאם לאיום".

Chainguard מהמר על AI כמגן הגנה

אתנה מגיעה עם שני חלקים. הראשון הוא קואליציה של יותר משני תריסר חברות שישתפו פעולה כדי לצוד ולתקן פגמים בתוכנות קוד פתוח בשימוש נרחב תוך שימוש במודלים חדישים של AI. התומכים בה הם מי של חברות פיננסים ותשתיות ארגוניות כמו JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl ו-PwC.

גַם: 5 טקטיקות אבטחה שהעסק שלך לא יכול לטעות בעידן הבינה המלאכותית – ולמה הן קריטיות

חברות אלו כבר מתמודדות עם לחץ רגולטורי ולקוח מחמיר סביב סיכון שרשרת אספקת התוכנה. הקואליציה נותנת להם דרך לאסוף נתונים, יכולות בינה מלאכותית ועבודות תיקון על נקודות תורפה שחתכו את הערימות שלהם. המטרה היא לעבור מתיקונים חד-פעמיים, ספציפיים לפרויקט, למודל מתואם שבו ניתן למצוא פגמי תוכנה קריטיים המזוהים ב-AI בקוד פתוח ולטפל לפני שהם מופיעים בספרי התוקפים.

תיקון פגמים לפני שתוקפים יכולים למצוא אותם

מבחינה טכנית, ההבטחה המרכזית של אתנה היא מהירות. היא תמצא ותתקן נקודות תורפה בקוד פתוח "לפני שתוקפים יוכלו למצוא אותן". במסגרת התוכנית, מערכות בינה מלאכותית יסננו בין כמויות עצומות של קוד פתוח וגרפים תלות כדי לסמן חולשות פוטנציאליות כדי שניתן יהיה לאמת אותן ולתקן אותן במעלה הזרם.

גַם: 5 דרכים לחזק את הרשת שלך נגד המהירות החדשה של התקפות AI

עם זאת, לפעמים התיקונים אינם זמינים במהירות כפי שהיינו רוצים או צריכים. כדי לטפל בזה, Chainguard מסביר: "אתנה עורמת שכבות הגנה עצמאיות כך שכיסוי קיים גם היכן שעדיין לא קיים טלאי נקי, ונשאר על כל פגם עד לתיקון עמיד במעלה הזרם."

גישה זו נראית כך:

• גילוי – ממצאים בדוקים מאוחדים מכל הקואליציה, כולל תוכניות מחקר חזיתיות כגון Project Glasswing של Anthropic ו-Daybreak של OpenAI. אתנה מקבלת ממצאים שנוצרו על ידי כל דגמי הגבול.
• תיקון טרום אמברגו — מזלגות פרטיים וגרסאות מוקשות מחדש זמינות לחברים דרך ספריות ה-Chainguard לפני החשיפה: הממצאים מטופלים בקבוצות על פני ספרייה שלמה, ומגבירים אותה כנגד מחלקות שלמות של בעיות במקום באג בודד. אם במקרה דגם צץ פגם ראשון, הוא נשאר שקט גם כשמגיע דגם מוכשר יותר.
• פיוס מתמשך – כל ממצא מתיישב עם פעילות במעלה הזרם לאורך האמברגו, תופס גילוי עצמאי ושומר על תיקונים עדכניים ככל שהפרויקטים מתקדמים.
• הפחתות פלטפורמה, רשת ותשתיות – שותפים המפעילים שכבות תשתית, פלטפורמה, רשת ואבטחה דוחפים אמצעים ללא תיקון לפני החשיפה: חתימות זיהוי, חוקים ברמת התעבורה וחסימות בצד הפלטפורמה המנטרלים פגם מבלי לגעת בתוכנה המושפעת אי פעם, במהירות המכונה ובטווח הגעה רחב.
• זיהויים והפחתות של ספקים — שותפי אבטחת סייבר מוסיפים זיהויים, חתימות ותיקון וירטואלי משלהם כשכבה עצמאית נוספת.
• גילוי במעלה הזרם ומזלגות קשיחים — הקואליציה מניעה חשיפה מתואמת במעלה הזרם, ו-Chainguard מקווה לעבוד עם קרן לינוקס על צוות תגובה מתואם לאירועי אבטחה עבור קוד פתוח ותוכנית מתחזקת המוצא האחרון.

גַם: לינוס טורוואלדס על טענת הבינה המלאכותית שמכעיסת אותו, ומה שחקרי אבטחה לא צריכים לעשות לעולם

Chainguard קושרת את היוזמה ישירות לקו המוצרים המאובטחים שלה כברירת מחדל, הכוללים רכיבי בנייה תואמי SLSA רמה 3, חפצים חתומים עם חוק חומרי תוכנה, תמונות מינימליות וחבילות שנבנו מחדש מהמקור מדי יום כדי לשמור על ספירת הפגיעות כמעט אפס. על ידי הזנת הממצאים של אתנה למפעל זה, החברה אומרת שהיא יכולה לשלוח במהירות מכולות מוקשחות, ספריות, מכונות וירטואליות (VMs) וחבילות קוד פתוח המשלבות תיקונים. במקביל, זה נותן ללקוחות נתיב מקור ברור למשטרי ציות, החל מ-FedRAMP ו-HIPAA ועד לחוק חוסן הסייבר של האיחוד האירופי ו-2 ₪.

חזית חדשה במרוץ האבטחה של AI בקוד פתוח

Chainguard וחבריו אינם היחידים שמנסים להביא את כולם על אותו עמוד בכל הנוגע לאבטחת קוד פתוח. יבמ ורד האט זורקות מיליארדי דולרים ואלפי מהנדסים על הבעיה.

ה קרן אבטחת קוד פתוח (OpenSSF) עובד גם על OSS-CRS כפרויקט קוד פתוח חדש בתוך קבוצת העבודה של AI/ML Security. זוהי מסגרת תזמור סטנדרטית לבנייה והפעלה של מערכות אוטונומיות מבוססות LLM לאיתור באגים ולתיקון באגים.

גַם: אבטחת קוד פתוח היא בלגן – יבמ ורד האט הימרו על 5 מיליארד דולר ו-20,000 מהנדסים יכולים לתקן את זה

עבור CISOs ורגולטורים הצופים בסיפור האבטחה של AI מתפתח, Athena תהיה מקרה מבחן של האם שיתוף פעולה מוגבר ב-AI בנושא פגיעויות בקוד פתוח יכול להתרחב מעבר לססמאות שיווקיות להפחתה מדידה של באגים שניתנים לניצול. באופן אישי, אני חושב ש-Chainguard והחברה יכולים לעשות זאת.

אחרי הכל, כפי שציין לורנץ, "אתנה פועלת היום. יותר מ-20,000 ממצאים מעובדים, 2,000 טלאים על פני 500 פרויקטים, גילויים מתואמים ראשונים תוך כחודש".

עם זאת, כפי שאמר לורנץ, "האם זה יהיה מושלם? לא, ואף אחד לא צריך להעמיד פנים אחרת. אבל הפרגמנטציה גרועה יותר, עמידה במקום לא שורדת, וככל שיש יותר מהענף, כך יש פחות לתוקף למצוא. הצטרפו אלינו". כדאי לך. אם משהו יציל את הקוד שלנו, זה יהיה מאמצים כמו אתנה.