Akrites: Linux Foundation und Tech‑Konzerne starten Abwehr gegen KI‑Angriffe auf Open‑Source

Linux Foundation und Partner gründen Akrites: ein zentrales Team, das Open‑Source vor KI‑beschleunigten Schwachstellen schützt.

In Kürze

• Geteiltes Security Incident Response Team prüft Meldungen und koordiniert Patches
• Standardisierte Offenlegung (CVE, CVSS, TLP:RED) verhindert frühe Leaks
• Maintainer bleiben zuständig; Akrites kann als ‚maintainer of last resort‘ einspringen

Akrites: Linux Foundation und Industrie starten gemeinsame Abwehr gegen KI‑gestützte Angriffe auf Open‑Source

Die Linux Foundation hat zusammen mit rund 20 Tech‑Firmen, KI‑Labors und Banken die Initiative Akrites ins Leben gerufen. Ziel ist, weitverbreitete Open‑Source‑Projekte besser vor Angriffen zu schützen, indem Sicherheitslücken schneller und koordinierter erkannt und behoben werden.

Warum jetzt?

Moderne KI‑Modelle können große Code‑Bestände in Minuten durchsuchen. Das erleichtert es, Schwachstellen schnell zu finden — und macht es auch Personen ohne tiefes Expertenwissen möglich, hochkomplexe Angriffe vorzubereiten. Dieses neue Tempo beim Auffinden von Fehlern verschiebt das Risiko zugunsten potenzieller Angreifer und erhöht den Druck auf die bestehende Sicherheitsinfrastruktur von Open‑Source‑Projekten.

Wer mitmacht

Zu den Gründungsmitgliedern zählen Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, die Rust Foundation, Vodafone und Zscaler. Auch mehrere KI‑Labore und Banken sind beteiligt.

Das aktuelle Problem

Meldungen zu Schwachstellen laufen heute oft chaotisch zusammen: dieselben Lücken werden mehrfach gemeldet, Patches widersprechen sich, und Maintainer werden mit Duplikaten überflutet. Gleichzeitig bleiben viele ausnutzbare Fehler unentdeckt oder ungepatcht. Ein interner Hinweis nennt eine ernüchternde Zahl: Von tausenden validierten Open‑Source‑Schwachstellen wurden in den vergangenen Monaten weniger als fünf Prozent gepatcht.

So will Akrites arbeiten

• Gemeinsames Reaktionsteam (SIRT): Kern der Initiative ist ein geteiltes Security Incident Response Team, das Meldungen prüft, Doppelmeldungen aussortiert und die Behebung koordiniert. Das soll einzelne Maintainer entlasten und einen verlässlichen Ansprechpartner bieten.
• Vertrauliche, koordinierte Offenlegung: Akrites setzt auf einen einheitlichen Prozess für Coordinated Vulnerability Disclosure. Bekannte Standards wie CVE (einheitliche Kennung), CVSS (Schweregrad‑Bewertung) und TLP (Ampelschema für Vertraulichkeit) kommen zum Einsatz. Neue Meldungen werden zunächst als TLP:RED eingestuft, damit Details nicht vor einem Patch nach außen gelangen.
• Kontrolle bleibt bei den Projekten: Korrekturen sollen grundsätzlich unter den Bedingungen der jeweiligen Maintainer ins Projekt zurückfließen. Fehlt ein aktiver Maintainer für ein wichtiges Paket, kann Akrites als „maintainer of last resort” einspringen und selbst einen Patch bereitstellen, damit Nutzer die Sicherheitskorrektur erhalten.

Organisation, Finanzierung und Behörden‑Zusammenarbeit

Die Anschubfinanzierung kommt vom Alpha‑Omega‑Fonds der Linux Foundation. Weitere Organisationen sind eingeladen, Mittel oder technische Ressourcen beizusteuern. Akrites plant außerdem Abstimmungen mit staatlichen Stellen, um die Koordination zwischen privaten und öffentlichen Akteuren zu verbessern.

Akrites tritt damit an, das bisher zersplitterte System zur Meldung und Behebung von Open‑Source‑Sicherheitslücken zentraler und strukturierter zu organisieren — vor dem Hintergrund, dass KI‑Werkzeuge Schwachstellen deutlich schneller aufspüren können.

Quellen

• Quelle: Linux Foundation / Akrites
• Der ursprüngliche Artikel wurde hier veröffentlicht
• Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.