Tu codes avec l’IA ?
Outils, agents et nouveautés dev IA décryptés, chaque soir en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Linux Foundation et géants tech lancent Akrites
La Linux Foundation et environ 20 entreprises technologiques ont lancé l'initiative Akrites pour protéger les vulnérabilités des logiciels open-source contre les attaques alimentées par l'IA.
Alors que les modèles d'IA peuvent scanner du code en quelques minutes et fournir même aux non-experts les outils pour des attaques complexes, Akrites remplace le système actuel de signalement des failles de sécurité, qui manque de coordination. Une équipe centrale examinera les rapports de manière confidentielle et coordonnera les correctifs. Pour les projets abandonnés, l'initiative se chargera elle-même de livrer les correctifs nécessaires.
Environ vingt entreprises technologiques, laboratoires d'IA et banques unissent leurs forces à travers Akrites pour corriger les vulnérabilités dans des logiciels open-source critiques avant que des outils d'IA ne puissent les exploiter. La Linux Foundation a annoncé Akrites comme une initiative coordonnée de l'industrie pour corriger les failles de sécurité dans des logiciels open-source largement utilisés, en collaboration avec les mainteneurs, avant que les attaquants ne puissent en tirer parti. Les membres fondateurs incluent Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorgan Chase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone, et Zscaler.
La raison de cette initiative est un changement dans l'équilibre des pouvoirs : trouver et corriger des bugs sérieux dans le code open-source nécessitait auparavant une expertise comparable des deux côtés. Les modèles d'IA modernes peuvent désormais scanner un grand projet en quelques minutes au lieu de semaines, exposant les failles beaucoup plus rapidement. Une fois ces capacités largement disponibles, même les attaquants sans compétences techniques approfondies obtiennent les outils pour des exploits sophistiqués.
La Linux Foundation décrit le modèle actuel de réponse à la sécurité comme un patchwork. De nombreuses organisations scannent les mêmes paquets de manière indépendante, rapportent les mêmes résultats plusieurs fois et livrent parfois des correctifs contradictoires. Les mainteneurs se retrouvent submergés par des doublons, tandis que de véritables bugs exploitables se perdent dans le bruit généré par l'IA. Le PDG d'Endor Labs, Varun Badhwar, a exprimé l'urgence de la situation : parmi des milliers de vulnérabilités open-source validées ces derniers mois, moins de cinq pour cent ont été corrigées.
Une équipe de réponse partagée au lieu de cent rapports séparés
Au cœur d'Akrites se trouve une équipe de réponse aux incidents de sécurité (SIRT) partagée. Elle agit comme un point de contact unique et fiable pour les mainteneurs de projets open-source, au lieu de dizaines d'organisations signalant indépendamment les mêmes failles. L'équipe examine les rapports entrants, filtre les doublons, puis coordonne les correctifs.
Akrites utilise un processus standardisé pour la divulgation confidentielle des vulnérabilités, connu dans l'industrie sous le nom de Divulgation coordonnée des vulnérabilités. Cela repose sur des normes établies telles que le système d'identification CVE, le cadre de notation de gravité CVSS, et le protocole TLP (Traffic Light Protocol) qui régit qui peut voir quoi. La confidentialité est essentielle : chaque rapport commence au niveau TLP:RED, le niveau de classification le plus élevé, et seule l'équipe de cas assignée peut y accéder. Ainsi, les détails concernant une faille ne fuient pas avant qu'un correctif ne soit prêt.
Les mainteneurs gardent le contrôle même en leur absence
Les correctifs terminés retournent dans le projet d'origine selon les conditions du mainteneur, permettant aux développeurs de garder le contrôle. Lorsque qu'un paquet critique n'a plus de mainteneur actif - un problème courant avec les projets gérés par des bénévoles - Akrites prévoit d'intervenir en tant que mainteneur de dernier recours et de livrer le correctif lui-même, afin que le patch atteigne tous les utilisateurs à temps. L'initiative prévoit également de coordonner avec les agences gouvernementales pour que les défenseurs privés et publics avancent de concert.
Le financement initial provient d'Alpha-Omega, un fonds dirigé sous la Linux Foundation. D'autres organisations souhaitant contribuer des ressources d'ingénierie ou des fonds sont invitées à se joindre à l'initiative.
