ZDNet AI→ оригинал

Chainguard запустил коалицию Athena: ИИ будет закрывать дыры в open-source до хакеров

Chainguard запустил коалицию Athena — объединение компаний, использующих ИИ для проактивной защиты open-source экосистемы. Система непрерывно сканирует…

AI-обработка оригинала ZDNet AI; редакция Hamidun News
Chainguard запустил коалицию Athena: ИИ будет закрывать дыры в open-source до хакеров
Источник: ZDNet AI. Коллаж: Hamidun News.
◐ Слушать статью

Chainguard — специализированная компания по защите программной цепочки поставок — объявила о создании коалиции Athena. Это партнёрское объединение технологических компаний, которые совместно применяют ИИ для поиска и устранения уязвимостей в открытом коде до того, как ими успеют воспользоваться злоумышленники.

Что такое

Athena и зачем коалиция Athena — не очередной инструмент безопасности, а инициатива уровня отрасли. Chainguard признаёт: в одиночку закрыть все дыры в экосистеме open-source невозможно. В реестрах npm, PyPI, Maven и Go modules хранятся сотни тысяч пакетов, за которыми часто присматривают один-два волонтёра. Коалиционная модель предполагает, что участники делятся данными об уязвимостях, совместно разрабатывают патчи и координируют реагирование на критические инциденты в общих компонентах. Принципиально изменилась и сама модель угрозы. Ещё несколько лет назад атакующие искали уязвимости преимущественно вручную — медленно и непредсказуемо. Теперь ИИ позволяет систематически сканировать репозитории, автоматически находить паттерны уязвимого кода и генерировать доказательства концепции эксплойтов за часы. Athena — попытка развернуть те же возможности на стороне защиты.

Как работает автоматизированный пайплайн В основе коалиции —

автоматизированный процесс обнаружения и исправления уязвимостей: Непрерывное сканирование публичных репозиториев на известные классы уязвимостей (CWE, OWASP Top 10) Анализ транзитивных зависимостей — выявление скрытых рисков в многоуровневых цепочках пакетов Автоматическая генерация черновиков патчей с помощью генеративного ИИ на основе контекста кода Подготовка pull request'ов с подробным объяснением уязвимости и обоснованием исправления * Приоритизация по CVSS-оценке и реальному распространению пакета в продуктовых средах Принципиальное отличие от классического bug bounty — проактивность. Система не ждёт, пока исследователь найдёт и сообщит об уязвимости: она ищет сама и сразу предлагает готовое решение. Человек остаётся в контуре: мейнтейнер проверяет патч, тестирует и принимает финальное решение. Это не замена экспертизы — это усилитель скорости реагирования.

Почему именно сейчас Атаки на программную цепочку поставок участились и стали изощрённее.

Log4Shell в 2021 году показал, насколько глубоко проникает одна уязвимая библиотека — она оказалась в миллионах корпоративных систем, которые никогда специально её не устанавливали. Инцидент с XZ Utils в 2024-м обнажил ещё более тревожный вектор: злоумышленник два года методично строил доверие в open-source сообществе, чтобы в итоге внедрить бэкдор в широко используемый пакет сжатия. Chainguard давно работает в этой нише. Компания разрабатывает Wolfi — минималистичный Linux-дистрибутив с минимальным attack surface и встроенным автоматическим управлением CVE. Athena расширяет ту же философию на всю экосистему: не только внутри собственных продуктов компании, но и в пакетах, от которых зависит вся индустрия.

«Атакующие уже используют ИИ, чтобы быстрее находить уязвимости в открытом коде.

Пора защитникам использовать те же инструменты в промышленном масштабе».

Что это значит

Коалиция Athena — симптом структурного сдвига: рынок кибербезопасности переходит от реактивного патчинга к проактивной ИИ-защите. Для инженерных команд, строящих продукты на open-source стеке, это означает потенциально более чистую экосистему и более быстрое закрытие дыр. Реальный масштаб изменений будет зависеть от того, насколько широким окажется участие партнёров и насколько готовы мейнтейнеры принять автоматически сгенерированные патчи как нормальный рабочий инструмент.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…