IBM and Red Hat launched Lightwell to protect open-source code from AI attacks
IBM and Red Hat launched Lightwell, a platform for protecting open-source projects from vulnerabilities detected by AI tools. Two products were released…
AI-processed from ZDNet AI; edited by Hamidun News
IBM и Red Hat перевели проект Lightwell из концептуальной стадии в коммерческий продукт: компании запустили платформу для защиты открытого исходного кода от уязвимостей, которые злоумышленники обнаруживают с помощью ИИ-инструментов. На рынок вышли два решения — Lightwell Network и Lightwell Clearinghouse Premier.
Что такое Lightwell и зачем он нужен
Открытый исходный код — фундамент современной корпоративной инфраструктуры. Linux, Kubernetes, PostgreSQL, Python и тысячи других проектов работают внутри большинства корпоративных систем. При этом у абсолютного большинства open-source проектов нет выделенных специалистов по безопасности: их поддерживают волонтёры и небольшие команды с ограниченными ресурсами.
ИИ-инструменты кардинально изменили это уравнение. Если раньше поиск уязвимости в крупном репозитории требовал нескольких недель работы опытного эксперта, то сегодня LLM-ассистированные сканеры способны анализировать миллионы строк кода за часы. Атакующие получили инструмент масштабирования, которого у защитников open-source пока нет. Именно этот разрыв IBM и Red Hat намерены закрыть с помощью Lightwell.
Два продукта: для сообщества и для корпораций
Платформа выходит на рынок в двух форматах, рассчитанных на принципиально разные аудитории:
- Lightwell Network — сетевая платформа для участников open-source экосистемы. Её цель — создать координированную инфраструктуру: единую точку для обмена информацией об уязвимостях и согласования ответа на угрозы между мейнтейнерами, дистрибьюторами и корпоративными потребителями кода
- Lightwell Clearinghouse Premier — коммерческий продукт корпоративного уровня, включающий управление процессами раскрытия уязвимостей (CVD), инструменты для аудита программных цепочек поставок и приоритизацию угроз в зависимости от критичности компонентов
Двухуровневый подход — характерная стратегия IBM и Red Hat: бесплатный или сетевой продукт поддерживает экосистему, коммерческий — монетизирует корпоративный спрос. По этой же схеме Red Hat работает с RHEL и OpenShift.
Почему ИИ-инструменты сделали open-source уязвимее?
В 2024 году инцидент с XZ Utils наглядно показал хрупкость открытой экосистемы: злоумышленник на протяжении более двух лет системно встраивал бэкдор в популярную библиотеку сжатия, и уязвимость успела попасть в несколько Linux-дистрибутивов до обнаружения.
С появлением мощных больших языковых моделей атаки стали потенциально дешевле и масштабируемее. Те же инструменты, которые разработчики используют для поиска багов в своём коде, могут применяться злоумышленниками для систематического сканирования популярных open-source репозиториев. Чем популярнее библиотека — тем привлекательнее она как цель: уязвимость в одном компоненте потенциально затрагивает тысячи зависимых проектов.
Lightwell — попытка IBM и
Red Hat создать системный ответ на эту угрозу: не набор отдельных патчей, а инфраструктуру координации и раннего предупреждения для всей open-source экосистемы.
Что это значит
IBM и Red Hat делают ставку на то, что защита open-source от ИИ-ускоренных атак превратится в отдельную категорию корпоративного ПО. Lightwell — попытка занять эту нишу первыми: поддерживая сообщество через Lightwell Network и монетизируя безопасность для крупного бизнеса через Clearinghouse Premier.
Want to stop reading about AI and start using it?
AI News is a curated feed of AI/tech news. Hamidun Academy teaches you to use AI systematically in your work.
The AI world, distilled — once a week
Seven stories that actually mattered, hand-picked. No noise, no reposts, no press releases.
Done! Check your inbox for a confirmation.