オープンソースセキュリティ企業のChainguardが、AIの攻撃からオープンソースソフトウェアを守るための新たな業界連合を結成し、数十のパートナーを集めました。
「Athena」と名付けられたこのイニシアチブは、6月16日にChainguardが発表しました。創設メンバーには、BNY、Chainguard、Cisco、Cloudflare、Corridor、DepthFirst、Docker、JPMorganChase、Kyndryl、LTIMindtree、PwCが名を連ねています。
Chainguardが進めてきた先行研究をもとに、Athenaは脆弱性インテリジェンス共有プラットフォームと、AnthropicのMythosやOpenAIのGPT-5.5.-CyberといったフロンティアAIモデルが発見した脆弱性を、攻撃者に悪用される前に修正するためのツールを提供します。
ChainguardのCEO、Dan Lorencによると、Athenaの仕組みは次のとおりです。
- 連合メンバーが、AnthropicのProject GlasswingやOpenAIのDaybreakなど、アクセス可能なフロンティアAIプログラムを使って発見したオープンソースプロジェクトの脆弱性をAthenaプラットフォームに集約
- Chainguardが非公開でパッチを適用し、影響を受けるプロジェクトをプライベートな堅牢化バージョンとして再構築。開示前にChainguard Librariesを通じてメンバーに提供
- インフラ・プラットフォーム・ネットワーク・セキュリティ層を運用する連合メンバーが、開示前にパッチ以外の緩和策を展開し、クリーンなパッチが存在しない場合でも対策を確保
- サイバーセキュリティパートナーが独自の検知ルール、シグネチャ、仮想パッチを追加
- Athena連合が協調的なアップストリーム開示を主導
さらにChainguardは、Linux Foundationと連携し、オープンソース向けの統合セキュリティインシデント対応チーム(SIRT)と、最後の手段としてのメンテナープログラムの構築を目指しています。
LinkedInでプロジェクトを発表したLorencは、Athenaによってあるメンバーが発見したすべての脆弱性が修正されてアップストリームに反映され、「エコシステム全体が受け取る修正となり、多くの場合は開示前に適用される」と述べました。
「そして、攻撃者のタイムラインに合わせてパッチを適用できない組織のために、インターネットの多くの部分の前面に位置するパートナーが開示前に緩和策を展開し、ブロックすべき問題があるとすら知らなかった人々を守ります」と同氏は付け加えました。
Chainguardはまた、Athenaモデルが6月2日に公布されたトランプ政権の最新大統領令「先進人工知能のイノベーションとセキュリティの推進(Promoting Advanced Artificial Intelligence Innovation and Security)」を受けて米政府が構築を求められているような、「AIサイバーセキュリティクリアリングハウス」の役割を果たすと強調しました。
「金曜日に米政府がMythosは一般公開には危険すぎると宣言したことで、その重要性はさらに高まっています」とこのオープンソースセキュリティ企業は付け加えました。
Athenaはすでに稼働しており、2万件以上の発見を処理し、500のオープンソースプロジェクトに対して2000件以上のパッチを提供しています。
このイニシアチブは7月に最初の開示情報の公表を開始する予定で、引き続き新たなパートナーを募っています。
「完璧かと問われれば、そうではありません。誰もそう偽るべきではないでしょう」とLorencは述べました。「しかし、断片化はさらに悪く、現状維持では生き残れません。業界の参加者が増えれば増えるほど、攻撃者が見つけられるものは少なくなります。ぜひ参加してください」
翻訳元: https://www.infosecurity-magazine.com/news/chainguard-bny-open-source-athena/
