IBM и Red Hat запустили Lightwell для защиты открытого кода от ИИ-атак
IBM и Red Hat запустили Lightwell — платформу для защиты open-source проектов от уязвимостей, которые обнаруживают ИИ-инструменты. Вышли два продукта…
AI-обработка оригинала ZDNet AI; редакция Hamidun News
IBM и Red Hat перевели проект Lightwell из концептуальной стадии в коммерческий продукт: компании запустили платформу для защиты открытого исходного кода от уязвимостей, которые злоумышленники обнаруживают с помощью ИИ-инструментов. На рынок вышли два решения — Lightwell Network и Lightwell Clearinghouse Premier.
Что такое Lightwell и зачем он нужен
Открытый исходный код — фундамент современной корпоративной инфраструктуры. Linux, Kubernetes, PostgreSQL, Python и тысячи других проектов работают внутри большинства корпоративных систем. При этом у абсолютного большинства open-source проектов нет выделенных специалистов по безопасности: их поддерживают волонтёры и небольшие команды с ограниченными ресурсами.
ИИ-инструменты кардинально изменили это уравнение. Если раньше поиск уязвимости в крупном репозитории требовал нескольких недель работы опытного эксперта, то сегодня LLM-ассистированные сканеры способны анализировать миллионы строк кода за часы. Атакующие получили инструмент масштабирования, которого у защитников open-source пока нет. Именно этот разрыв IBM и Red Hat намерены закрыть с помощью Lightwell.
Два продукта: для сообщества и для корпораций
Платформа выходит на рынок в двух форматах, рассчитанных на принципиально разные аудитории:
- Lightwell Network — сетевая платформа для участников open-source экосистемы. Её цель — создать координированную инфраструктуру: единую точку для обмена информацией об уязвимостях и согласования ответа на угрозы между мейнтейнерами, дистрибьюторами и корпоративными потребителями кода
- Lightwell Clearinghouse Premier — коммерческий продукт корпоративного уровня, включающий управление процессами раскрытия уязвимостей (CVD), инструменты для аудита программных цепочек поставок и приоритизацию угроз в зависимости от критичности компонентов
Двухуровневый подход — характерная стратегия IBM и Red Hat: бесплатный или сетевой продукт поддерживает экосистему, коммерческий — монетизирует корпоративный спрос. По этой же схеме Red Hat работает с RHEL и OpenShift.
Почему ИИ-инструменты сделали open-source уязвимее?
В 2024 году инцидент с XZ Utils наглядно показал хрупкость открытой экосистемы: злоумышленник на протяжении более двух лет системно встраивал бэкдор в популярную библиотеку сжатия, и уязвимость успела попасть в несколько Linux-дистрибутивов до обнаружения.
С появлением мощных больших языковых моделей атаки стали потенциально дешевле и масштабируемее. Те же инструменты, которые разработчики используют для поиска багов в своём коде, могут применяться злоумышленниками для систематического сканирования популярных open-source репозиториев. Чем популярнее библиотека — тем привлекательнее она как цель: уязвимость в одном компоненте потенциально затрагивает тысячи зависимых проектов.
Lightwell — попытка IBM и
Red Hat создать системный ответ на эту угрозу: не набор отдельных патчей, а инфраструктуру координации и раннего предупреждения для всей open-source экосистемы.
Что это значит
IBM и Red Hat делают ставку на то, что защита open-source от ИИ-ускоренных атак превратится в отдельную категорию корпоративного ПО. Lightwell — попытка занять эту нишу первыми: поддерживая сообщество через Lightwell Network и монетизируя безопасность для крупного бизнеса через Clearinghouse Premier.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.
Главное из мира ИИ — раз в неделю
7 ключевых событий недели, отобранных вручную. Без шума, репостов и пресс-релизов.
Готово! Проверьте почту — мы отправили подтверждение.