Chainguard / ZDNET 关注ZDNET：将我们添加为谷歌上的首选来源。ZDNET的主要见解：Chainguard和合作伙伴将利用人工智能保护开源代码免受攻击者的侵害。阿提娜利用开源用户、开发人员和维护者的资源。Chainguard并不是唯一希望通过人工智能确保开源代码安全的公司。正如IT行业的每个人都知道，或者应该知道的那样，人工智能开启了攻击开源代码安全的新战线。黑客曾经需要真正的技能。现在，任何拥有足够先进的人工智能模型的人都可以打开程序，并用人工智能定制的恶意软件感染它们。专注于零CVE容器镜像和安全加固开源代码的软件公司Chainguard，正在与其他公司合作，通过阿提娜抢先一步打击攻击者。正如Chainguard所说，"发现漏洞和被利用之间的差距从过去的几年缩短到了现在的几个小时，并且越来越多的攻击是在漏洞公开披露之前被武器化的。协调披露是为发现严重缺陷需要几周的世界而构建的，而目标也很少。那个世界不复存在。" Chainguard是对的，那个世界确实消失了。此外：在失去控制之前，将你的人工智能代理视为热情但误导的人类实习生。必须采取行动。正如公司首席执行官及联合创始人Dan Lorenc在LinkedIn上所写的那样，我们面临着"让开源安全碎片化为十几个无法调和的补丁集，或者做另一种困难的协调工作"的选择。我说如果我们一起建立，这一切才有可能，并承认我不知道我们是否真的能做到。更新是：行业参与了。这个项目叫做阿提娜，并且已经上线。"思科的高级副总裁、安全与信任负责人安东尼·格里科同意这一观点。他表示："几十年来，思科一直帮助保护开源生态系统。但现在这种工作面临新的紧迫性；前沿人工智能加速了漏洞发现周期，超出了传统协调披露的应对能力。Chainguard的阿提娜联盟代表了一种重要的演变，即在这些威胁要求的速度下，协调开源漏洞情报和防御。"Chainguard将人工智能作为防御盾牌。阿提娜由两个部分组成。其一是一个由二十多家公司组成的联盟，它们将合作使用尖端的人工智能模型追踪和修复广泛使用的开源软件中的缺陷。其支持者都是金融和企业基础设施公司的精英，如摩根大通、思科、Cloudflare、Docker、Kyndryl和普华永道。此外：在人工智能时代，您的企业不能犯的5个安全策略及其重要性。这些公司已经面临着围绕软件供应链风险的严格监管和客户压力。该联盟为他们提供了一种整合数据、人工智能能力和漏洞修复工作的方式，这些漏洞跨越他们的技术栈。目标是从一次性、项目特定的修复转变为一种协调模型，从而在攻击者的行动手册出现之前，找到并解决关键的人工智能识别的开源软件缺陷。技术上，阿提娜的核心承诺是速度。它将在"攻击者发现之前"找到并修补开源漏洞。根据该计划，人工智能系统将筛选大量开源代码和依赖图，以标记潜在的弱点，以便进行验证和上游修复。此外：增强网络防御，抵御新速度的人工智能攻击。但有时，补丁并没有像我们希望的那样迅速可用。为了解决这个问题，Chainguard解释说："阿提娜堆叠独立的保护层，以确保在干净补丁尚未发布的情况下仍然存在保护，并持续跟踪每个缺陷，直到提供耐用的上游修复。"这种方法如下：发现 - 从联盟内的各种最近发现的经过验证的结果进行整合，包括前沿研究项目如Anthropic的Project Glasswing和OpenAI的Daybreak。阿提娜接受由所有前沿模型生成的发现。预披露修复 - 私人分叉和重建的加固版本在披露前通过Chainguard库提供给成员：发现被大规模处理，增强整库，以对抗整类问题，而不仅仅是一个单一的漏洞。如果一个模型恰好首先发现一个缺陷，即使一个更强大的模型到达时也保持安静。持续协调 - 每个发现都在整个禁令期间与上游活动进行协调，以捕捉独立发现，并在项目进展时保持修复的最新状态。平台、网络和基础设施的缓解 - 运营基础设施、平台、网络和安全层的合作伙伴在披露之前推动非补丁的缓解措施：检测签名、流量级规则和平台端的阻断，以在未触及受影响软件的情况下以机器速度中和缺陷。