ZDNet AI→ оригинал

IBM и Red Hat запустили Lightwell для защиты открытого кода от ИИ-атак

IBM и Red Hat запустили Lightwell — платформу для защиты open-source проектов от уязвимостей, которые обнаруживают ИИ-инструменты. Вышли два продукта…

AI-обработка оригинала ZDNet AI; редакция Hamidun News
IBM и Red Hat запустили Lightwell для защиты открытого кода от ИИ-атак
Источник: ZDNet AI. Коллаж: Hamidun News.
◐ Слушать статью

IBM и Red Hat перевели проект Lightwell из концептуальной стадии в коммерческий продукт: компании запустили платформу для защиты открытого исходного кода от уязвимостей, которые злоумышленники обнаруживают с помощью ИИ-инструментов. На рынок вышли два решения — Lightwell Network и Lightwell Clearinghouse Premier.

Что такое Lightwell и зачем он нужен

Открытый исходный код — фундамент современной корпоративной инфраструктуры. Linux, Kubernetes, PostgreSQL, Python и тысячи других проектов работают внутри большинства корпоративных систем. При этом у абсолютного большинства open-source проектов нет выделенных специалистов по безопасности: их поддерживают волонтёры и небольшие команды с ограниченными ресурсами.

ИИ-инструменты кардинально изменили это уравнение. Если раньше поиск уязвимости в крупном репозитории требовал нескольких недель работы опытного эксперта, то сегодня LLM-ассистированные сканеры способны анализировать миллионы строк кода за часы. Атакующие получили инструмент масштабирования, которого у защитников open-source пока нет. Именно этот разрыв IBM и Red Hat намерены закрыть с помощью Lightwell.

Два продукта: для сообщества и для корпораций

Платформа выходит на рынок в двух форматах, рассчитанных на принципиально разные аудитории:

  • Lightwell Network — сетевая платформа для участников open-source экосистемы. Её цель — создать координированную инфраструктуру: единую точку для обмена информацией об уязвимостях и согласования ответа на угрозы между мейнтейнерами, дистрибьюторами и корпоративными потребителями кода
  • Lightwell Clearinghouse Premier — коммерческий продукт корпоративного уровня, включающий управление процессами раскрытия уязвимостей (CVD), инструменты для аудита программных цепочек поставок и приоритизацию угроз в зависимости от критичности компонентов

Двухуровневый подход — характерная стратегия IBM и Red Hat: бесплатный или сетевой продукт поддерживает экосистему, коммерческий — монетизирует корпоративный спрос. По этой же схеме Red Hat работает с RHEL и OpenShift.

Почему ИИ-инструменты сделали open-source уязвимее?

В 2024 году инцидент с XZ Utils наглядно показал хрупкость открытой экосистемы: злоумышленник на протяжении более двух лет системно встраивал бэкдор в популярную библиотеку сжатия, и уязвимость успела попасть в несколько Linux-дистрибутивов до обнаружения.

С появлением мощных больших языковых моделей атаки стали потенциально дешевле и масштабируемее. Те же инструменты, которые разработчики используют для поиска багов в своём коде, могут применяться злоумышленниками для систематического сканирования популярных open-source репозиториев. Чем популярнее библиотека — тем привлекательнее она как цель: уязвимость в одном компоненте потенциально затрагивает тысячи зависимых проектов.

Lightwell — попытка IBM и

Red Hat создать системный ответ на эту угрозу: не набор отдельных патчей, а инфраструктуру координации и раннего предупреждения для всей open-source экосистемы.

Что это значит

IBM и Red Hat делают ставку на то, что защита open-source от ИИ-ускоренных атак превратится в отдельную категорию корпоративного ПО. Lightwell — попытка занять эту нишу первыми: поддерживая сообщество через Lightwell Network и монетизируя безопасность для крупного бизнеса через Clearinghouse Premier.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…