协会地址:上海市长宁区古北路620号图书馆楼309-313室
AWS 与其他机构投资 1250 万美元保护开源生态系统免受 AI 威胁
作者: Mark Ryland
原文链接: https://aws.amazon.com/blogs/opensource/aws-and-others-invest-12-5m-to-defend-the-open-source-ecosystem-from-ai-threats/
AWS、Anthropic、Google、Microsoft 和 OpenAI 今天宣布与 Linux 基金会联合投资 1250 万美元,以帮助开源项目应对激增的 AI 增强和 AI 生成的安全漏洞报告。Alpha Omega(阿尔法欧米伽)倡议和开源安全基金会(OpenSSF)都将通过 Linux 基金会的资助获得资金。
软件安全正处于一个关键节点,基础模型在关键代码中发现漏洞的能力开始超越安全研究人员。例如,Anthropic 上个月报告称,其最新的 Claude Opus 4.6 模型在一轮初步研究中发现并验证了开源项目中超过 500 个高严重性漏洞。
借助这笔新资金,并基于过去 AWS、Google 和 Microsoft 对 Alpha Omega 的数百万美元承诺,我们将提供工具、自动化和资源,帮助开源维护者快速验证和修复合法漏洞,同时过滤掉低质量的提交。这项投资建立在 Alpha Omega 过去四年在跨生态系统中加强开源安全的可靠记录之上。
与 Alpha Omega 成员、Linux 基金会、OpenSSF 以及更广泛的开源安全社区一起,我们力求确保,那些带来新挑战的 AI 能力,也将为支撑全球数字基础设施的软件供应链构建更强大的防御。
AI 越来越多地在开源项目中发现漏洞
生成安全相关的漏洞报告曾经是一项艰苦的工作,需要使用专门的工具进行应用程序模糊测试和渗透测试,验证和报告问题,以及修复漏洞,这个过程通常需要数月甚至更长时间。现在,这一过程已变成一场与时间的赛跑,以赶超潜在威胁行为者——他们同样可以使用广泛可用的生成式 AI 工具,利用强大的 AI 模型来识别潜在漏洞。
开源维护者也发出警告,AI 生成的漏洞报告正使他们不堪重负,难以审查。许多报告质量极低——这一现实催生了新的行业术语“AI 垃圾”(AI slop)。许多项目已经选择为 AI 提交制定指南,而另一些项目则完全关闭了上游贡献,以防止大量 AI 生成的拉取请求涌入。
无论 AI 是在发现合法漏洞还是提交垃圾报告,快速且大规模响应的需求正迅速成为一个行业性问题。虽然项目需要修补代码,但责任不能也不应完全落在不堪重负的维护者身上。
AWS、开源与人工智能
作为全球领先的云提供商,以及一家在开源供应链安全、工具和最佳实践方面深度投入的公司,AWS 将挺身而出,帮助应对伴随无处不在的 AI 而来的新安全挑战。与无数公司一样,AWS 采用、贡献并发布核心技术的开源版本,以构建和运行我们的云服务。安全的开源项目是我们提供云服务的基础,这些服务支撑着客户下一次伟大的 AI 驱动创新。
AWS 已经提供了许多有价值的工具和技术,用于构建和维护先进的 AI 系统。用于安全模型托管的 Amazon Bedrock 服务和 Amazon Bedrock AgentCore 框架为高级、安全的智能体应用提供了丰富的构建模块。这些能力包括:基于 Firecracker 的智能体安全隔离计算平台、基于 IAM 和 OAuth 的身份管理、由 AgentCore Gateway 和基于 Cedar 的策略引擎协调的集中式工具访问,以及丰富的可观测性和评估能力。Kiro 利用前沿 AI 模型的力量,通过规范驱动的开发为 AI 编码带来结构化,并得到 AWS 安全最佳实践的支持。
Amazon 的 Frontier Agents 不仅提供自动化软件开发,还提供安全和 DevOps 智能体,为软件开发和部署生命周期提供更全面的 AI 支持。通过我们对 Alpha-Omega 的额外投资,我们将帮助将 AI 的力量扩展到更广泛的开源生态系统。
发现并修复漏洞
虽然 AI 生成的漏洞报告(AI-generated bug reports)可能给开源(open source)项目带来问题,但它们对于改善供应链安全(supply chain security)也极具价值。我们从未能够以如此速度或规模发现并修复漏洞。我们相信,那些正在发现问题的先进模型和工具,同样可以通过更好的工具和自动化来加以利用,从而修复这些问题。
然而,没有任何一家公司能够独自解决这个问题——随着更先进的模型发布,这个问题只会日益加剧。行业领导者必须共同努力,确保以有助于开源维护者长期维持项目健康的方式快速完成修复。这样做,我们就是在帮助保障所有人的软件供应链(software supply chain)安全。
为此,AWS 已与 Alpha Omega 白金成员 Google 和 Microsoft,以及新成员 Anthropic 和 OpenAI 共同宣布追加 1250 万美元资金。AWS 投入的 250 万美元是专门用于帮助开源项目及其维护者更快修复安全漏洞(security vulnerabilities)的更大资金池的一部分。借助这笔新资金,Alpha Omega 旨在提供工具、自动化、培训和其他资源,帮助开源项目跟上基础模型(foundation models)报告新漏洞的速度。
Alpha Omega 已改善开源安全
过去四年间,Alpha Omega 一直向开源项目和基金会提供资助,用于安全改进。这些改进包括聘请全职安全工程师、进行安全审计、改进发布工具等。通过 Alpha Omega,投资公司可以共同合作,并与项目维护者及开源安全社区的其他成员一起,确保资金流向最关键的项目和倡议。
该组织设在 Linux 基金会的 OpenSSF 内,已经实现了影响整个生态系统的重大安全改进。过去四年中,Alpha Omega 交付了安全报告,协调了漏洞处理,并与互联网安全研究小组(Internet Security Research Group)、Apache 软件基金会(Apache Software Foundation)、Rust 基金会(Rust Foundation)、Python 软件基金会(Python Software Foundation)和 Eclipse 软件基金会(Eclipse Software Foundation)等组织建立了合作伙伴关系。
例如,由于 Alpha Omega 在 2025 年的资助,Rust 基金会在 crates.io 上全面部署了可信发布(Trusted Publishing),并成为官方 CVE 编号机构(CVE Numbering Authority)。Node.js 修复了两个高危漏洞。Python 软件基金会增强了 PyPI 的恶意软件(malware)检测和账户安全。FreeBSD 基金会改进了 FreeBSD 基础系统 中的第三方软件安全,成功将 OpenSSL 从 3.0 升级到 3.5 LTS(将支持延长至 2030 年)。Eclipse 基金会解决了 OpenVSX 中的漏洞。
AWS 致力于与其他 Alpha Omega 成员及其资助的项目合作,帮助解决新兴 AI 技术带来的问题以及未来未知的挑战。我们希望您也能加入我们。请访问 https://alpha-omega.dev/ 了解该项目及其倡议的更多信息,并参与其中。
