Koalisi Athena baru Chainguard menggunakan AI untuk memperbaiki kelemahan sumber terbuka – sebelum penyerang mengeksploitasinya
Chainguard / ZDNETIkuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google. Poin-poin penting dari ZDNET Chainguard dan kawan-kawan akan menggunakan AI untuk melindungi kode sumber terbuka dari penyerang. Athena menggunakan sumber daya dari pengguna, pengembang, dan pengelola sumber terbuka. Chainguard bukan satu-satunya yang berusaha mengamankan kode sumber terbuka dengan AI. Seperti yang diketahui, atau seharusnya diketahui oleh semua orang di TI, AI telah membuka front baru dalam menyerang keamanan kode sumber terbuka. Peretasan dulunya membutuhkan keterampilan nyata. Kini, siapa pun yang memiliki model AI yang cukup canggih dapat membongkar program yang terbuka dan menginfeksinya dengan malware yang dibuat khusus oleh AI. Perusahaan perangkat lunak Chainguard, yang mengkhususkan diri dalam gambar container zero-CVE dan kode sumber terbuka yang diperkeras keamanannya, bergabung dengan perusahaan lain untuk menghajar para penyerang dengan Athena. Seperti yang dikatakan Chainguard, “Kesenjangan antara kerentanan yang ditemukan dan yang dieksploitasi telah menyusut dari tahun ke jam, dan semakin banyak eksploitasi yang dijadikan senjata sebelum bug tersebut diungkapkan kepada publik. Pengungkapan yang terkoordinasi dibangun untuk sebuah dunia di mana menemukan kelemahan yang serius membutuhkan waktu berminggu-minggu, dan targetnya hanya sedikit. Dunia itu telah hilang.” Penjaga rantai benar. Dia. Juga: Perlakukan agen AI Anda seperti manusia magang yang bersemangat namun salah arah – sebelum Anda kehilangan kendali, Sesuatu harus dilakukan. Seperti yang ditulis oleh CEO dan salah satu pendiri perusahaan, Dan Lorenc, di LinkedIn, kami memiliki “pilihan antara membiarkan fragmen keamanan open-source menjadi selusin set patch saingan yang tidak dapat direkonsiliasi oleh siapa pun, atau melakukan hal yang sulit dan terkoordinasi. Saya mengatakan bahwa ini hanya akan berhasil jika kita membangunnya bersama-sama, dan saya akui bahwa saya tidak tahu apakah kita benar-benar akan melakukan hal tersebut. Inilah pembaruannya: industri ini muncul. Namanya Athena, dan sudah aktif.” Anthony Grieco, SVP Cisco, kepala keamanan dan kepercayaan, setuju. “Selama beberapa dekade, Cisco telah membantu mengamankan ekosistem sumber terbuka. Pekerjaan tersebut kini menghadapi urgensi baru; AI frontier telah mempercepat siklus penemuan kerentanan melampaui apa yang biasa dilakukan oleh pengungkapan terkoordinasi. Koalisi Athena dari Chainguard mewakili sebuah evolusi penting, koordinasi intelijen dan pertahanan kerentanan sumber terbuka sesuai dengan kecepatan yang dibutuhkan oleh ancaman-ancaman ini.” Chainguard bertaruh pada AI sebagai perisai pertahanan Athena hadir dengan dua bagian. Yang pertama adalah koalisi lebih dari dua lusin perusahaan yang akan berkolaborasi untuk mencari dan memperbaiki kelemahan dalam perangkat lunak sumber terbuka yang banyak digunakan dengan menggunakan model AI yang mutakhir. Pendukungnya adalah orang-orang dari perusahaan keuangan dan infrastruktur perusahaan seperti JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl, dan PwC. Juga: 5 taktik keamanan yang tidak mungkin salah bagi bisnis Anda di era AI – dan mengapa taktik tersebut sangat pentingPerusahaan-perusahaan ini telah menghadapi tekanan peraturan dan pelanggan yang ketat seputar risiko rantai pasokan perangkat lunak. Koalisi ini memberi mereka cara untuk mengumpulkan data, kemampuan AI, dan upaya remediasi terhadap kerentanan yang ada di seluruh tumpukan mereka. Tujuannya adalah untuk beralih dari perbaikan yang hanya dilakukan satu kali dan spesifik proyek ke model terkoordinasi di mana kelemahan kritis perangkat lunak sumber terbuka yang diidentifikasi oleh AI dapat ditemukan dan diatasi sebelum muncul dalam pedoman penyerang. Memperbaiki kelemahan sebelum penyerang dapat menemukannya Secara teknis, janji utama Athena adalah kecepatan. Ia akan menemukan dan menambal kerentanan sumber terbuka “sebelum penyerang dapat menemukannya.” Melalui program ini, sistem AI akan menyaring sejumlah besar kode sumber terbuka dan grafik ketergantungan untuk menandai potensi kelemahan sehingga dapat divalidasi dan diperbaiki pada tahap awal. Juga: 5 cara untuk memperkuat jaringan Anda terhadap kecepatan serangan AI yang baru. Namun terkadang, patch tidak tersedia secepat yang kita inginkan atau butuhkan. Untuk mengatasi hal ini, Chainguard menjelaskan: “Athena menyusun lapisan perlindungan independen sehingga cakupan tetap ada bahkan ketika patch bersih belum tersedia, dan bertahan pada setiap kelemahan hingga perbaikan upstream yang tahan lama tersedia.” Pendekatan ini terlihat seperti ini: Discovery — Temuan yang telah diperiksa dikumpulkan dari seluruh koalisi, termasuk program penelitian terdepan seperti Project Glasswing dari Anthropic dan Daybreak dari OpenAI. Athena menerima temuan yang dihasilkan oleh semua model perbatasan. Remediasi pra-embargo — Fork pribadi dan versi yang dibangun kembali dan diperkeras tersedia bagi anggota melalui Perpustakaan Chainguard sebelum pengungkapan: Temuan ditangani secara berkelompok di seluruh perpustakaan, memperkuatnya terhadap seluruh kelompok masalah, bukan hanya satu bug. Rekonsiliasi berkelanjutan — Setiap temuan diselaraskan dengan aktivitas hulu selama embargo, menemukan penemuan independen dan terus memperbarui perbaikan seiring berjalannya proyek. Mitigasi platform, jaringan, dan infrastruktur — Mitra yang mengoperasikan infrastruktur, platform, jaringan, dan lapisan keamanan mendorong mitigasi non-tambalan sebelum pengungkapan: tanda tangan deteksi, aturan tingkat lalu lintas, dan blok sisi platform yang menetralisir kelemahan tanpa menyentuh perangkat lunak yang terkena dampak, dengan kecepatan mesin dan jangkauan yang luas. Deteksi dan mitigasi vendor — Mitra keamanan siber menambahkan deteksi, tanda tangan, dan patch virtual mereka sendiri sebagai lapisan independen lebih lanjut. Pengungkapan hulu dan hard fork — Koalisi mendorong pengungkapan hulu yang terkoordinasi, dan Chainguard berharap dapat bekerja sama dengan Linux Foundation dalam Tim Respons Insiden Keamanan yang terkoordinasi untuk sumber terbuka dan pengelola program resor terakhir. Juga: Linus Torvalds tentang klaim AI yang membuat dia marah, dan apa yang tidak boleh dilakukan oleh peneliti keamananChainguard adalah mengaitkan inisiatif ini secara langsung dengan lini produknya yang aman secara default, yang mencakup build yang sesuai dengan SLSA Level 3, artefak yang ditandatangani dengan Software Bill of Materials, gambar minimal, dan paket yang dibuat ulang dari sumber setiap hari untuk menjaga jumlah kerentanan mendekati nol. Dengan memasukkan temuan Athena ke pabrik ini, perusahaan mengatakan mereka dapat dengan cepat mengirimkan kontainer, perpustakaan, mesin virtual (VM), dan paket sumber terbuka yang dilengkapi perbaikan. Pada saat yang sama, hal ini memberikan pelanggan jejak asal yang jelas mengenai rezim kepatuhan mulai dari FedRAMP dan HIPAA hingga Undang-Undang Ketahanan Siber UE dan NIS2. Sebuah terobosan baru dalam perlombaan keamanan AI sumber terbuka, Chainguard dan kawan-kawan bukanlah satu-satunya yang mencoba membuat semua orang memiliki pemahaman yang sama dalam hal pengamanan kode sumber terbuka. IBM dan Red Hat mengeluarkan miliaran dolar dan ribuan insinyur untuk mengatasi masalah ini. Open Source Security Foundation (OpenSSF) juga sedang mengerjakan OSS-CRS sebagai proyek sumber terbuka baru dalam Kelompok Kerja Keamanan AI/ML. Ini adalah kerangka kerja orkestrasi standar untuk membangun dan menjalankan sistem pencarian bug dan perbaikan bug otonom berbasis LLM. Selain itu: Keamanan sumber terbuka berantakan – IBM dan Red Hat bertaruh $5 miliar dan 20.000 insinyur dapat memperbaikinya. Bagi CISO dan regulator yang menyaksikan kisah keamanan AI terungkap, Athena akan menjadi contoh uji apakah kolaborasi yang ditambah dengan AI pada kerentanan sumber terbuka dapat melampaui slogan pemasaran hingga pengurangan bug yang dapat dieksploitasi secara terukur. Secara pribadi, saya pikir Chainguard dan perusahaan dapat melakukannya. Lagi pula, seperti yang dikatakan Lorenc, “Athena sudah beroperasi saat ini. Lebih dari 20.000 temuan diproses, 2.000 patch di 500 proyek, pengungkapan pertama kali dikoordinasikan dalam waktu sekitar satu bulan.” Namun, seperti yang dikatakan Lorenc, “Apakah ini akan sempurna? Tidak, dan tidak seorang pun boleh berpura-pura sebaliknya. Namun fragmentasi lebih buruk lagi, berdiam diri saja tidak akan bisa bertahan, dan semakin banyak industri yang terlibat, semakin sedikit penyerang yang bisa menemukannya. Bergabunglah dengan kami.” Anda harus. Jika ada yang bisa menyelamatkan kode kita, itu adalah upaya seperti Athena.
Diterbitkan : 2026-06-16 12:22:00
sumber : www.zdnet.com
