Linux 재단은 AI 기반 오픈 소스 소프트웨어 취약점 공격을 방어하기 위해 "Akrites" 프로젝트를 시작하기 위해 여러 당사자와 힘을 합쳤습니다

리눅스 재단은 AI와 대규모 언어 모델이 취약점 마이닝에 널리 사용되는 시대에 핵심 오픈소스 소프트웨어의 방어 역량을 강화하는 것을 목표로 다수의 거대 기술 기업, 금융 기관, 보안 공급업체와 함께 'Akrites'라는 새로운 프로젝트를 시작했다고 최근 발표했습니다. 그 어느 때보다 훨씬 빠른 속도와 규모로 소프트웨어 결함을 발견할 수 있는 최첨단 AI 모델로 인해 오픈 소스 인프라에 대한 보안 압력이 급격히 높아지고 있으며 Akrites는 취약점 수정 및 공개에 대한 업계 수준의 협력 노력으로 자리매김하고 있습니다.

이미지.webp

Linux Foundation에서 발표한 정보에 따르면 Akrites의 핵심 목표는 널리 사용되는 주요 오픈 소스 프로젝트에서 기밀성을 우선시하는 통합되고 표준화되고 조정된 취약점 공개 프로세스를 구축하고 중앙 집중식 보안 사고 대응 메커니즘을 통해 AI 지원으로 발견된 보안 취약점에 신속하게 대응하는 것입니다. 이 프로젝트는 통신, 금융, 의료 및 에너지와 같은 중요한 인프라를 지원하는 오픈 소스 구성 요소에 중점을 두고 업스트림 유지 관리 담당자와 협력하여 공격자가 취약점을 악용하기 전에 수리를 완료하도록 노력할 것입니다.

지원 주체로서 Akrites는 공유 보안 사고 대응 팀(SIRT) 역할을 하며 심각한 취약점에 대한 단일 조정 채널을 제공하여 오픈 소스 유지 관리 담당자가 여러 회사 및 기관의 여러 반복 보고에 직면하는 것을 방지하고 대응 효율성을 향상시킵니다. 이 모델에서는 취약점 처리 프로세스가 기밀로 유지되며 수정 사항이 올바른 버전 및 릴리스 리듬으로 구현되도록 원래 프로젝트 유지 관리 프로세스를 통해 수정 사항이 업스트림으로 피드백됩니다. 이미 활성 관리자가 부족하지만 여전히 널리 의존하고 있는 중요한 소프트웨어 패키지의 경우 Akrites는 "마지막 관리자" 역할을 하여 필요한 경우 수정 사항을 조정하고 주류 릴리스에 푸시합니다.

이 프로젝트는 업계에서 광범위한 지원을 받았으며 첫 번째 참가자로는 Amazon Cloud Technology(AWS), Anthropic, Chainguard, Cisco, Citigroup, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft 및 GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone 및 Zscaler가 있습니다. 이들 참가자는 클라우드 서비스 제공업체, AI 연구소, 금융기관, 소프트웨어 공급망 보안 벤더 등을 포함해 AI 시대의 오픈소스 보안 위험에 대한 업계의 공감대와 우려를 반영했다.

Linux 재단은 과거에는 통합된 조정이 없을 때 여러 보안 팀이 동일한 오픈 소스 구성 요소의 취약점에 대해 독립적인 보고와 복구 시도를 시작하는 경우가 많았기 때문에 유지 관리 담당자가 패치를 반복적으로 전달하고 검토하고 병합해야 했으며 이로 인해 복구 속도가 느려질 뿐만 아니라 패치 분기 및 다운스트림 조각화의 위험도 증가했다고 지적했습니다. Akrites는 중앙 집중식 채널과 공유 도구 체인을 통해 다양한 조직의 조사 결과를 조정 프로세스에 통합합니다. 이는 유지 관리 담당자의 부담을 줄일 뿐만 아니라 개인 지점에서 "사일로 기반" 패치 접근 방식을 피하고 업스트림 통합 복구를 강화하는 데 도움이 됩니다.

AI 보안의 맥락에서 Akrites는 "방어자 공동 업그레이드"라는 아이디어를 강조합니다. 한편으로는 최첨단 AI 모델이 오픈 소스 취약점을 발견하는 중요한 도구가 되어 보안 팀이 복잡한 소프트웨어 스택을 자동화된 방식으로 감사하는 데 도움이 됩니다. 반면 공격자는 유사한 기술을 사용하여 이러한 결함을 더 큰 규모로 스캔하고 무기화할 수도 있습니다. Linux 재단은 이러한 공격 및 방어 조건의 변화에서 주요 오픈 소스 소프트웨어의 복구 리듬이 AI 기반 취약점 발견 속도를 따라갈 수 있도록 보장하고 인프라가 짧은 시간 내에 대규모로 악용 가능한 취약점이 노출되는 것을 방지하기 위해 새로운 업계 수준의 메커니즘이 필요하다고 믿습니다.

현재 Akrites 프로젝트는 공식 웹사이트에 출시되어 운영을 시작했습니다. 앞으로는 핵심 오픈소스 구성 요소의 적용 범위를 점진적으로 확대하고 더 많은 커뮤니티 및 기관과 협력 관계를 구축할 예정입니다. 단기적으로 전체 오픈 소스 생태 보안 상황에 대한 이 프로젝트의 구체적인 영향은 아직 알 수 없지만 Linux 재단과 파트너는 고도로 조율된 기밀성 우선 취약성 처리 플랫폼을 구축하여 AI 시대의 오픈 소스 공급망에 대한 새로운 체계적인 방어선을 제공하기를 분명히 희망합니다.

자세히 알아보기:

https://akrites.org/

https://akrites.org/linux-foundation-and-industry-leaders-launch-akrites-to-defend-tical-open-source-software-against-ai-enabled-cyber-threats/