协会地址:上海市长宁区古北路620号图书馆楼309-313室
Project Glasswing:为维护者提供先进 AI以保护全球代码
作者: jzemlin@linuxfoundation.org (Jim Zemlin)
原文链接: https://www.linuxfoundation.org/blog/project-glasswing-gives-maintainers-advanced-ai-to-secure-open-source
2025年深秋,人工智能模型在编程能力上实现了巨大飞跃。自那以后,我们不断听到这一突破的阴暗面——新一代AI模型在识别此前未发现的软件漏洞方面也惊人地擅长。这些发现正在影响全球一些安全防护最严密的系统。更令人担忧的是,做出这些发现的AI系统展现出令人难以置信的复杂性,常常将多个漏洞串联起来,产生更关键的风险。
被瞄准的软件
由于软件驱动着世界上的一切,攻击者长期以来一直将代码(无论是专有代码还是开源代码)作为利用影响力的目标。开源是当今企业使用软件的主要形式,使其成为全球最大的目标。对于支撑我们经济、社会及生活其他方面广泛领域的那些最广泛使用的软件项目来说,尤其如此。从医院到银行,再到电信和交通提供商,开源是其技术栈中的关键组成部分。
与此同时,开源软件维护者从未面临过如此巨大的压力。更高的拉取请求(Pull Request)和安全漏洞报告(其中许多是AI生成的)数量、更多的网络攻击,以及日益复杂的供应链攻击活动,共同让维护者的生活更加艰难。再加上AI生成的零日漏洞(Zero-day Vulnerability)浪潮的迫在眉睫的威胁,我们可能面临灾难性的局面。
通过 Project Glasswing 解决维护者的困境
这就是 Project Glasswing 重要的原因。Project Glasswing 汇集了亚马逊云服务(Amazon Web Services)、苹果(Apple)、博通(Broadcom)、思科(Cisco)、CrowdStrike、谷歌(Google)、摩根大通(JPMorgan Chase)、Linux 基金会(Linux Foundation)、微软(Microsoft)、英伟达(NVIDIA)和 Palo Alto Networks,将新一代前沿AI模型——Claude Mythos Preview——用于防御性安全目的。Anthropic 承诺为此投入高达1亿美元的信用额度,其中250万美元通过 Linux 基金会捐赠给 Alpha-Omega 和 OpenSSF,150万美元捐赠给 Apache 软件基金会(Apache Software Foundation),以帮助开源维护者直接应对这一不断变化的形势。
开源安全历来是一项吃力不讨好的任务。分类和修复漏洞、编写和测试补丁、制定谨慎的沟通策略——这些都不是维护者在提交第一个项目提交时所设想的。我们相信AI可以帮助解决这个问题。当AI发挥作用时,它能提供规模和杠杆效应。新一代前沿模型可以大规模、高速地分析代码,并基于之前的漏洞修复检测模式。
同样重要的是,早期迹象表明,Claude Mythos Preview 和其他先进AI模型不仅能发现漏洞,还能提供可行的补丁。当我最近与 Linux 项目的 Greg Kroah-Hartman 交谈时,他最初持怀疑态度,但最近他告诉我,AI工具生成的一些补丁“相当不错”——这出自他口,是极高的赞誉。
大规模、更快速地识别和修补漏洞的能力,可以显著减轻维护者的安全负担。Project Glasswing 将使维护者与关键企业一起,提高其项目安全性,并将更多时间用于推进项目代码,而不是被动防御。对我们所有人来说,这是双赢:更安全的代码、更快的软件开发,以及成为维护者的更多动力。
让关键软件的维护者能够使用强大的AI
过去,最先进的安全能力是那些拥有大预算和专门团队的组织才能享有的奢侈品。而开源维护者——他们的软件支撑着全球大部分关键基础设施——只能靠自己摸索。由于AI增强安全的阴暗面是AI增强的不安全,我们必须确保最好的AI网络安全工具能够均匀分布,而不是集中在少数有钱有人的组织手中。
如果成本过高,这一切都毫无意义。Project Glasswing 旨在确保维护者可以免费使用这些工具。这是促进顶级AI网络安全能力广泛采用的唯一途径——通过消除任何经济障碍。
现在是时候让世界上的软件变得更安全了。
我持乐观态度,但紧迫感是真实的。我们正处于最危险的时期——过渡期,当技术生态系统消化AI的影响时,攻击者可能获得显著优势。我们已经看到了聪明的网络安全团队利用AI所能做到的证据,并在野外目睹了利用AI辅助编写的新型漏洞利用工具包。落后不是选项。Project Glasswing(玻璃翼项目)是重要的一步,而这仅仅是第一步。齐心协力,我们就能保障全球开源软件的安全。
关于作者
Jim Zemlin的职业生涯跨越了过去十年间兴起的三大技术趋势:移动计算、云计算和开源软件。如今,作为Linux基金会的CEO,他利用这一经验通过开源和Linux加速技术创新。在Linux基金会,Jim与全球最大的科技公司(包括IBM、Intel、Google、Samsung、Qualcomm等)合作,帮助定义服务器、云端以及各种移动计算设备上的计算未来。他在供应商中立的Linux基金会的工作赋予了他对全球科技行业独特且全面的视角。Jim因其对科技行业经济变化的洞察而受到认可,并经常在行业活动中担任主题演讲嘉宾。他为多家初创公司提供咨询,包括Splashtop,并担任全球经济研讨会(Global Economic Symposium)、美国开源组织(Open Source For America)以及中国开源推进联盟(Chinese Open Source Promotion Union)的董事会成员。
