概要
- オープンソース は現代の重要なインフラを支える基盤。
- AIの進化 により脆弱性発見と悪用が急速化。
- Akrites は業界横断で脆弱性対応を協調推進する新プロジェクト。
- 主要企業・団体が参加し、 一元的な連携と秘密保持 で対応強化。
- コミュニティ全体で防衛 し、共通基盤の安全性向上を目指す。
オープンソースの重要性と新たな課題
- オープンソースは 数十年にわたり技術革新の象徴 として発展。
- 金融、通信、公共インフラなど 社会の基盤システム が依存。
- 近年、 AI技術の進化 により、脆弱性発見が従来の専門家による数週間から、機械による数分へと劇的に短縮。
- 攻撃者もAIを活用し、 脆弱性発見から悪用までのサイクルが加速。
- メンテナーの対応能力を超える速さで脆弱性が発見され、 従来の対応体制では追いつかない現実。
Akritesの発足と目的
- Akrites は、歴史上最大規模の協調的なオープンソース脆弱性対応プロジェクト。
- 参加企業・団体:AWS, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone, Zscalerなど。
- 脆弱性の 発見・修正・責任ある公開 を一元的に調整し、 重要インフラの安全性確保 を支援。
- 従来のバラバラな対応 (複数組織が同じ問題に個別対応し、メンテナーに負担や混乱を与える)を防止。
- 秘密保持と一元的な連携窓口 で、AI攻撃者と同等以上のスピードで対応。
Akritesのアプローチと特徴
- セキュリティインシデント対応チーム (Security Incident Response Team)を設置し、メンテナーに信頼できる唯一のパートナーを提供。
- 上流(upstream)で修正 を行い、すべての利用者に迅速に安全なコードを提供。
- 重要パッケージのメンテナー不在時はAkritesが最後の砦 として修正を担う。
- 公開パッチは 悪用リスクが高まるため、修正の配布と適用を重視。
- 政府や社会インフラ運営者とも連携 し、全体最適の防御体制を構築。
参加企業・団体の声明(抜粋)
- Amazon Web Services :AIによる脆弱性発見のスピードに合わせて、協調的な防御体制を構築。
- Anthropic :AI時代の脆弱性対応には、業界全体の連携と上流での修正が不可欠。
- Chainguard :サプライチェーンの安全性は上流の脆弱性修正が鍵、Akritesがその役割を果たす。
- Cisco :個々の企業やメンテナー、政府だけでは対応不可。協調こそが唯一の道。
- Citi :AIによる脆弱性発見の効率化に対応し、Linux FoundationやAkritesと連携。
- CNCF :クラウドネイティブインフラ全体の安全性向上のため、協調的な修正活動を支援。
- Endor Labs :発見より修正が難題。Akritesは信頼できる修正を全利用者に届ける仕組み。
- Ericsson :報告・修正・公開の非協調がリスク。Akritesで共同防衛を推進。
- Google :AI時代に即した迅速かつ協調的な対応で、デジタルインフラの信頼性を守る。
- JPMorganChase :発見から悪用までの時間が圧縮。修正の適用速度を重視し、Akritesと協力。
今後の展望とコミットメント
- 参加各社は エンジニアリングリソース・専門知識・資金 を提供し、オープンソース基盤の強化に貢献。
- これまでのメンテナーの努力に感謝しつつ、 新たな時代の責任を全員で共有。
- 今こそ協調的な対応が必要 であり、共通基盤の安全性を未来に残す決意。
- 「 Patch the commons together(共通基盤をともに守ろう)」を合言葉に、持続可能なセキュリティ体制の構築を目指す。