This article hasn't been translated into English yet — showing the Russian original.
ZDNet AI→ original

IBM and Red Hat launched Lightwell to protect open-source code from AI attacks

IBM and Red Hat launched Lightwell, a platform for protecting open-source projects from vulnerabilities detected by AI tools. Two products were released…

AI-processed from ZDNet AI; edited by Hamidun News
IBM and Red Hat launched Lightwell to protect open-source code from AI attacks
Source: ZDNet AI. Collage: Hamidun News.
◐ Listen to article

IBM и Red Hat перевели проект Lightwell из концептуальной стадии в коммерческий продукт: компании запустили платформу для защиты открытого исходного кода от уязвимостей, которые злоумышленники обнаруживают с помощью ИИ-инструментов. На рынок вышли два решения — Lightwell Network и Lightwell Clearinghouse Premier.

Что такое Lightwell и зачем он нужен

Открытый исходный код — фундамент современной корпоративной инфраструктуры. Linux, Kubernetes, PostgreSQL, Python и тысячи других проектов работают внутри большинства корпоративных систем. При этом у абсолютного большинства open-source проектов нет выделенных специалистов по безопасности: их поддерживают волонтёры и небольшие команды с ограниченными ресурсами.

ИИ-инструменты кардинально изменили это уравнение. Если раньше поиск уязвимости в крупном репозитории требовал нескольких недель работы опытного эксперта, то сегодня LLM-ассистированные сканеры способны анализировать миллионы строк кода за часы. Атакующие получили инструмент масштабирования, которого у защитников open-source пока нет. Именно этот разрыв IBM и Red Hat намерены закрыть с помощью Lightwell.

Два продукта: для сообщества и для корпораций

Платформа выходит на рынок в двух форматах, рассчитанных на принципиально разные аудитории:

  • Lightwell Network — сетевая платформа для участников open-source экосистемы. Её цель — создать координированную инфраструктуру: единую точку для обмена информацией об уязвимостях и согласования ответа на угрозы между мейнтейнерами, дистрибьюторами и корпоративными потребителями кода
  • Lightwell Clearinghouse Premier — коммерческий продукт корпоративного уровня, включающий управление процессами раскрытия уязвимостей (CVD), инструменты для аудита программных цепочек поставок и приоритизацию угроз в зависимости от критичности компонентов

Двухуровневый подход — характерная стратегия IBM и Red Hat: бесплатный или сетевой продукт поддерживает экосистему, коммерческий — монетизирует корпоративный спрос. По этой же схеме Red Hat работает с RHEL и OpenShift.

Почему ИИ-инструменты сделали open-source уязвимее?

В 2024 году инцидент с XZ Utils наглядно показал хрупкость открытой экосистемы: злоумышленник на протяжении более двух лет системно встраивал бэкдор в популярную библиотеку сжатия, и уязвимость успела попасть в несколько Linux-дистрибутивов до обнаружения.

С появлением мощных больших языковых моделей атаки стали потенциально дешевле и масштабируемее. Те же инструменты, которые разработчики используют для поиска багов в своём коде, могут применяться злоумышленниками для систематического сканирования популярных open-source репозиториев. Чем популярнее библиотека — тем привлекательнее она как цель: уязвимость в одном компоненте потенциально затрагивает тысячи зависимых проектов.

Lightwell — попытка IBM и

Red Hat создать системный ответ на эту угрозу: не набор отдельных патчей, а инфраструктуру координации и раннего предупреждения для всей open-source экосистемы.

Что это значит

IBM и Red Hat делают ставку на то, что защита open-source от ИИ-ускоренных атак превратится в отдельную категорию корпоративного ПО. Lightwell — попытка занять эту нишу первыми: поддерживая сообщество через Lightwell Network и монетизируя безопасность для крупного бизнеса через Clearinghouse Premier.

ZK
Hamidun News
AI news without noise. Daily editorial selection from 400+ sources. A product by Zhemal Khamidun, Head of AI at Alpina Digital.

Want to stop reading about AI and start using it?

AI News is a curated feed of AI/tech news. Hamidun Academy teaches you to use AI systematically in your work.

What do you think?
Loading comments…