💡 站外导读:开源软件已成为数字经济的基石,但其安全隐患也日益凸显。近期,Anthropic模型一次性检测出超2.3万个漏洞,暴露了传统安全模式的力不从心。面对企业级开源依赖(如IBM使用超6.2万个开源包)的爆炸式增长,如何构建一套可扩展、智能化的安全体系,成为行业亟待解决的痛点。IBM与红帽的‘光井计划’正是瞄准这一核心挑战,试图通过AI与大规模协作,重塑开源安全的底层逻辑。
IBM 和红帽宣布携手推出 “光井计划”(Project Lightwell),旨在利用人工智能技术加强开源软件(OSS)的安全性。此次计划将建立一个被称为 “可信企业清算所” 的平台,全球将有超过 20,000 名工程师参与,目标是大规模识别和修复开源软件中的安全漏洞。
开源软件在大型企业中的日益普及,也带来了安全风险的同步攀升。据 IBM 披露,该公司当前使用了超过 62,000 个开源组件,并对其中 10,000 多个组件积累了深入的技术经验。近期,由 Anthropic 的 Claude Mythos 模型所识别出的 23,019 个安全漏洞,更是突显了应对这一挑战的紧迫需求。
“可信企业清算所” 将作为一个 “安全协调层”,运用先进的 AI 能力来验证和测试修复方案。参与的企业可以通过商业订阅的方式,将安全补丁直接集成到其软件供应链中。这个过程允许企业在一个安全的框架内分享敏感的安全问题,随后将获得经过优化的补丁,以适应生产环境,并最终能够将修复方案上游共享,以助于长期维护。
IBM 软件高级副总裁罗伯・托马斯(Rob Thomas)表示,该服务计划将在未来 30 天内启动商业发布,其订阅定价将与企业所采用的软件包数量挂钩。目前,IBM 与红帽已同包括美国银行、花旗集团、高盛、摩根大通、万事达、摩根士丹利、加拿大皇家银行、Visa 及富国银行在内的多家头部金融机构展开了初步试点,这些实践成果将为后续的正式商用服务提供重要参考。
IBM 董事长兼首席执行官阿尔文・克里希那(Arvind Krishna)表示,开源软件是当今数字经济的基础和现代 AI 的核心,光井计划将结合 AI、工程专业知识和可信协作,致力于从源头上保障开源软件的安全,覆盖整个供应链。
划重点:
– 🚀 IBM 与红帽携手启动“光井计划”,致力于增强开源软件的安全防护能力。
– 🛡️ 超过 20,000 名工程师将参与建立 “可信企业清算所”,专注于识别和修复安全漏洞。
– 💼 企业能够通过订阅方式获得安全更新支持,目前已有众多知名金融机构加入了试点行列。
📝 站长洞察 (Editor’s Insight)
这不仅仅是一次投资,更是开源治理模式的范式转移。‘光井计划’将安全从被动响应升级为主动‘免疫’,其‘可信企业清算所’本质上是构建了一个由AI赋能的分布式安全共识网络。它抓住了当前最关键的矛盾:开源的民主化优势与集中化安全验证之间的张力。通过将AI用于漏洞检测与补丁验证,再结合商业订阅的闭环,IBM正在定义‘安全即服务’的新标准。此举或将加速企业开源从‘使用’到‘治理’的进阶,并可能催生一个以安全为核心的新产业层。对于所有依赖开源的企业而言,这是观察下一代基础设施安全范式的绝佳窗口。
