En Resumen

  • La Linux Foundation lanzó Akrites con 19 organizaciones como Amazon, Google y OpenAI para corregir fallas en código abierto.
  • El CISO de Anthropic advirtió que la IA encuentra vulnerabilidades más rápido de lo que el modelo de divulgación puede manejar.
  • Menos del 5% de las vulnerabilidades detectadas por IA en código abierto han sido corregidas, según el CEO de Endor Labs.

La Linux Foundation lanzó Akrites el jueves junto con 19 organizaciones fundadoras incluyendo Amazon, Anthropic, Citi, Google, JPMorganChase, Microsoft, NVIDIA, OpenAI, entre otras, para coordinar la corrección de software de código abierto crítico antes de que atacantes impulsados por IA puedan explotarlo.

La iniciativa aborda un problema de tiempos que la IA ha vuelto urgente. Los modelos de frontera ahora pueden escanear un proyecto importante de código abierto y detectar múltiples vulnerabilidades confirmadas en minutos, un trabajo que antes le tomaba semanas a un investigador de seguridad experimentado. Como reportó Decrypt, Claude Opus 4.8 descubrió una falla crítica en el pool de privacidad Orchard de Zcash en un solo día, exponiendo un error que había sobrevivido cuatro años de revisión por criptógrafos.

Si los hackers de sombrero blanco encuentran esas fallas, todo está bien. Pero si lo hacen actores maliciosos, las cosas pueden ponerse muy complicadas, muy rápido. Jason Clinton, subdirector de seguridad de la información (CISO) de Anthropic, señaló en la carta que el modelo existente de divulgación coordinada "ha sido superado por la velocidad con la que la IA ahora puede encontrar vulnerabilidades", y que lograr una corrección upstream requiere coordinar los hallazgos "antes de que sean divulgados y explotados".

El modelo de divulgación coordinada que existía antes de Akrites no fue diseñado para esa velocidad. Múltiples organizaciones escaneaban de forma independiente las mismas bibliotecas y pasaban por largos procesos burocráticos antes de corregir errores, un proceso que una carta abierta firmada por las 19 organizaciones fundadoras calificó como "enterrar a los mantenedores bajo ruido".

Varun Badhwar, CEO de Endor Labs, fue más directo: de los miles de vulnerabilidades de código abierto validadas que la IA ha detectado en los últimos meses, "menos del 5% han sido corregidas".

Akrites reemplaza ese proceso con un único Equipo Confidencial de Respuesta a Incidentes de Seguridad, un socio predecible para los mantenedores en lugar de una avalancha de reportes descoordinados. Las correcciones regresan al repositorio original de cada proyecto en los términos de los mantenedores, utilizando estándares de seguimiento de vulnerabilidades. Cuando un paquete crítico no tiene un mantenedor activo, Akrites se compromete a asumir el rol de mantenedor de último recurso.

El programa fue diseñado primero para prevenir filtraciones; la carta abierta calificó una falla no divulgada en un paquete ampliamente implementado como "un arma". Rebecca Rumbul, CEO de la Rust Foundation, afirmó que la buena voluntad de los mantenedores de código abierto ha sido dada por sentada durante demasiado tiempo y que esta iniciativa les ayudará a trabajar de forma coordinada.

"Akrites promete una coordinación significativa con los mantenedores upstream, apoyo financiero y de tiempo completo para encontrar, corregir y divulgar vulnerabilidades de seguridad de manera responsable, y un compromiso genuino de las empresas más influyentes en tecnología y finanzas para resolver este problema", agregó.

Pat Opet, CISO de JPMorganChase, detalló lo que el éxito realmente requiere para este esfuerzo. "La IA ha comprimido masivamente el tiempo entre el descubrimiento y la explotación de vulnerabilidades a casi tiempo real", señaló Opet, lo que significa que los adversarios pueden hacer ingeniería inversa de un parche publicado y construir un exploit funcional antes de que muchos sistemas downstream hayan implementado la corrección.

El éxito, según Opet, es "la implementación del parche, no su publicación".

OpenAI había lanzado su propio esfuerzo paralelo, Patch the Planet, tres días antes de Akrites: un primer sprint utilizando GPT-5.5-Cyber e ingenieros de Trail of Bits en 19 proyectos de código abierto que fusionaron docenas de parches. Clint Gibler, líder de ciberseguridad de OpenAI, calificó la protección del código abierto como "un compromiso a largo plazo" para la empresa y afirmó que Akrites ayuda a "fortalecer la coordinación en toda la industria".

Aunque similares, los dos esfuerzos difieren en alcance: Patch the Planet se enfoca en el descubrimiento asistido por IA y la entrega de parches con revisión humana experta; Akrites construye la capa de coordinación que dirige los hallazgos validados upstream a lo largo de la industria.

Alpha-Omega, un fondo dirigido por la Linux Foundation, proporcionará financiamiento inicial para Akrites. Desde 2022, el fondo ha otorgado más de 70 subvenciones por un total de más de $20 millones a proyectos de seguridad de código abierto. Otras organizaciones pueden unirse contribuyendo recursos de ingeniería o financiamiento en akrites.org.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.