Default
Door Remote - 26 Jun 2026
In het kort
De Linux Foundation lanceerde donderdag Akrites met 19 stichtende leden om het herstel van kritieke open source-kwetsbaarheden te coördineren voordat AI-aanvallers deze kunnen misbruiken.
Volgens Varun Badhwar, CEO van Endor Labs, is minder dan 5% van de duizenden open-source kwetsbaarheden die AI de afgelopen maanden aan het licht heeft gebracht, gepatcht.
Akrites is ontworpen om deze coördinatiekloof te dichten.
De Linux Foundation lanceerde donderdag Akrites samen met 19 oprichtende organisaties – Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI en anderen – om het patchen van cruciale open-sourcesoftware te coördineren voordat AI-aangedreven aanvallers deze kunnen misbruiken.
Het initiatief pakt een tijdlijnprobleem aan dat AI urgent heeft gemaakt. Frontier-modellen kunnen nu een groot open-sourceproject scannen en binnen enkele minuten meerdere bevestigde kwetsbaarheden retourneren; werk dat een ervaren beveiligingsonderzoeker vroeger weken kostte. Zoals Decrypt heeft gemeld, heeft Claude Opus 4.8 binnen een dag een kritieke fout in Zcash's Orchard-privacypool blootgelegd, waardoor een bug aan het licht kwam die vier jaar cryptograafbeoordeling had overleefd.
Als white hat-hackers deze fouten vinden, is alles in orde. Als kwaadwillende actoren dat doen, kunnen de zaken heel rommelig en heel snel verlopen. Antropisch plaatsvervangend CISO Jason Clinton zei in de brief dat het bestaande model voor gecoördineerde openbaarmaking "ingehaald is door de snelheid waarmee AI nu kwetsbaarheden kan vinden" - en dat het bereiken van een oplossing stroomopwaarts coördinatie van bevindingen vereist "voordat ze worden onthuld en uitgebuit."
Het gecoördineerde onthullingsmodel dat dateerde van vóór Akrites was niet gebouwd voor die snelheid. Meerdere organisaties scanden onafhankelijk van elkaar dezelfde bibliotheken en moesten lange bureaucratische processen doorlopen voordat ze bugs repareerden – een proces dat in een open brief, ondertekend door alle 19 oprichtende organisaties, het 'begraven van de beheerders onder lawaai' werd genoemd.
Endor Labs CEO Varun Badhwar ging nog verder: van de duizenden gevalideerde open-source kwetsbaarheden die AI de afgelopen maanden aan het licht heeft gebracht, is “minder dan 5% gepatcht”.
Akrites vervangt dat proces door één enkel, vertrouwelijk Security Incident Response Team: één voorspelbare partner voor beheerders in plaats van een stortvloed aan ongecoördineerde rapporten. Oplossingen keren terug naar de oorspronkelijke repository van elk project, op voorwaarden van de beheerders, waarbij gebruik wordt gemaakt van standaarden voor het volgen van kwetsbaarheden. Wanneer een kritiek pakket geen actieve onderhouder heeft, verbindt Akrites zich ertoe in te grijpen als onderhouder in laatste instantie.
Het programma werd in de eerste plaats gebouwd om lekken te voorkomen; in de open brief werd een niet bekendgemaakte fout in een wijdverspreid pakket 'een wapen' genoemd. De CEO van de Rust Foundation, Rebecca Rumbul, zei dat de goede wil van open-sourcebeheerders te lang als vanzelfsprekend is beschouwd en dat dit initiatief hen zal helpen in coördinatie te werken.
“Akrites belooft betekenisvolle coördinatie met upstream-onderhouders, financiële en fulltime ondersteuning om beveiligingskwetsbaarheden op verantwoorde wijze te vinden, op te lossen en openbaar te maken, en een oprechte inzet van de meest invloedrijke bedrijven in de technologie- en financiële wereld om dit probleem op te lossen”, zei ze.
JPMorganChase CISO Pat Opet schetste wat succes eigenlijk vereist voor de inspanning. "AI heeft de tijd tussen het ontdekken en exploiteren van kwetsbaarheden enorm gecomprimeerd tot bijna realtime", aldus Opet. Dit betekent dat tegenstanders een gepubliceerde patch kunnen reverse-engineeren en een werkende exploit kunnen bouwen voordat veel downstream-systemen de oplossing hebben geïmplementeerd.
Succes is volgens Opet 'patchimplementatie, niet patchpublicatie'.
OpenAI had zijn eigen parallelle initiatief, Patch the Planet, gelanceerd, drie dagen vóór Akrites: een eerste sprint met behulp van GPT-5.5-Cyber- en Trail of Bits-ingenieurs in 19 open-sourceprojecten waarin tientallen patches werden samengevoegd. OpenAI Cyber Lead Clint Gibler noemde het veiligstellen van open source "een langetermijnengagement" voor het bedrijf en zei dat Akrites helpt "de coördinatie in de sector te versterken."
Hoewel vergelijkbaar, verschillen de twee inspanningen qua reikwijdte: Patch the Planet richt zich op AI-ondersteunde ontdekking en levering van patches met deskundige menselijke beoordeling; Akrites bouwt de coördinatielaag die gevalideerde bevindingen stroomopwaarts door de sector stuurt.
Alpha-Omega, een door de Linux Foundation geregisseerd fonds, zal startfinanciering voor Akrites verstrekken. Het fonds heeft sinds 2022 meer dan 70 subsidies verstrekt voor een totaalbedrag van ruim 20 miljoen dollar aan open-source beveiligingsprojecten. Andere organisaties kunnen zich aansluiten door technische middelen bij te dragen of financiering te verstrekken op akrites.org.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
De Linux Foundation lanceerde donderdag Akrites met 19 stichtende leden om het herstel van kritieke open source-kwetsbaarheden te coördineren voordat AI-aanvallers deze kunnen misbruiken.
Volgens Varun Badhwar, CEO van Endor Labs, is minder dan 5% van de duizenden open-source kwetsbaarheden die AI de afgelopen maanden aan het licht heeft gebracht, gepatcht.
Akrites is ontworpen om deze coördinatiekloof te dichten.
De Linux Foundation lanceerde donderdag Akrites samen met 19 oprichtende organisaties – Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI en anderen – om het patchen van cruciale open-sourcesoftware te coördineren voordat AI-aangedreven aanvallers deze kunnen misbruiken.
Het initiatief pakt een tijdlijnprobleem aan dat AI urgent heeft gemaakt. Frontier-modellen kunnen nu een groot open-sourceproject scannen en binnen enkele minuten meerdere bevestigde kwetsbaarheden retourneren; werk dat een ervaren beveiligingsonderzoeker vroeger weken kostte. Zoals Decrypt heeft gemeld, heeft Claude Opus 4.8 binnen een dag een kritieke fout in Zcash's Orchard-privacypool blootgelegd, waardoor een bug aan het licht kwam die vier jaar cryptograafbeoordeling had overleefd.
Als white hat-hackers deze fouten vinden, is alles in orde. Als kwaadwillende actoren dat doen, kunnen de zaken heel rommelig en heel snel verlopen. Antropisch plaatsvervangend CISO Jason Clinton zei in de brief dat het bestaande model voor gecoördineerde openbaarmaking "ingehaald is door de snelheid waarmee AI nu kwetsbaarheden kan vinden" - en dat het bereiken van een oplossing stroomopwaarts coördinatie van bevindingen vereist "voordat ze worden onthuld en uitgebuit."
Het gecoördineerde onthullingsmodel dat dateerde van vóór Akrites was niet gebouwd voor die snelheid. Meerdere organisaties scanden onafhankelijk van elkaar dezelfde bibliotheken en moesten lange bureaucratische processen doorlopen voordat ze bugs repareerden – een proces dat in een open brief, ondertekend door alle 19 oprichtende organisaties, het 'begraven van de beheerders onder lawaai' werd genoemd.
Endor Labs CEO Varun Badhwar ging nog verder: van de duizenden gevalideerde open-source kwetsbaarheden die AI de afgelopen maanden aan het licht heeft gebracht, is “minder dan 5% gepatcht”.
Akrites vervangt dat proces door één enkel, vertrouwelijk Security Incident Response Team: één voorspelbare partner voor beheerders in plaats van een stortvloed aan ongecoördineerde rapporten. Oplossingen keren terug naar de oorspronkelijke repository van elk project, op voorwaarden van de beheerders, waarbij gebruik wordt gemaakt van standaarden voor het volgen van kwetsbaarheden. Wanneer een kritiek pakket geen actieve onderhouder heeft, verbindt Akrites zich ertoe in te grijpen als onderhouder in laatste instantie.
Het programma werd in de eerste plaats gebouwd om lekken te voorkomen; in de open brief werd een niet bekendgemaakte fout in een wijdverspreid pakket 'een wapen' genoemd. De CEO van de Rust Foundation, Rebecca Rumbul, zei dat de goede wil van open-sourcebeheerders te lang als vanzelfsprekend is beschouwd en dat dit initiatief hen zal helpen in coördinatie te werken.
“Akrites belooft betekenisvolle coördinatie met upstream-onderhouders, financiële en fulltime ondersteuning om beveiligingskwetsbaarheden op verantwoorde wijze te vinden, op te lossen en openbaar te maken, en een oprechte inzet van de meest invloedrijke bedrijven in de technologie- en financiële wereld om dit probleem op te lossen”, zei ze.
JPMorganChase CISO Pat Opet schetste wat succes eigenlijk vereist voor de inspanning. "AI heeft de tijd tussen het ontdekken en exploiteren van kwetsbaarheden enorm gecomprimeerd tot bijna realtime", aldus Opet. Dit betekent dat tegenstanders een gepubliceerde patch kunnen reverse-engineeren en een werkende exploit kunnen bouwen voordat veel downstream-systemen de oplossing hebben geïmplementeerd.
Succes is volgens Opet 'patchimplementatie, niet patchpublicatie'.
OpenAI had zijn eigen parallelle initiatief, Patch the Planet, gelanceerd, drie dagen vóór Akrites: een eerste sprint met behulp van GPT-5.5-Cyber- en Trail of Bits-ingenieurs in 19 open-sourceprojecten waarin tientallen patches werden samengevoegd. OpenAI Cyber Lead Clint Gibler noemde het veiligstellen van open source "een langetermijnengagement" voor het bedrijf en zei dat Akrites helpt "de coördinatie in de sector te versterken."
Hoewel vergelijkbaar, verschillen de twee inspanningen qua reikwijdte: Patch the Planet richt zich op AI-ondersteunde ontdekking en levering van patches met deskundige menselijke beoordeling; Akrites bouwt de coördinatielaag die gevalideerde bevindingen stroomopwaarts door de sector stuurt.
Alpha-Omega, een door de Linux Foundation geregisseerd fonds, zal startfinanciering voor Akrites verstrekken. Het fonds heeft sinds 2022 meer dan 70 subsidies verstrekt voor een totaalbedrag van ruim 20 miljoen dollar aan open-source beveiligingsprojecten. Andere organisaties kunnen zich aansluiten door technische middelen bij te dragen of financiering te verstrekken op akrites.org.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!