IBM y Red Hat lanzan Lightwell para defender el código abierto de los ataques de IA

Publicado el:

spot_img
- Advertisment -spot_img

Siga ZDNET: Agréganos como fuente preferida en Google.


Conclusiones clave de ZDNET

  • Lightwell es ahora un servicio para la defensa de IA de código abierto.
  • Akrites y Atenea están adoptando enfoques similares.
  • Los ataques impulsados ​​por IA necesitan defensores impulsados ​​por IA.

Para los desarrolladores de software, la IA es a la vez una bendición y una maldición. Por un lado, la IA permite a los desarrolladores crear programas más rápido que nunca. Por otro lado, la IA permite a los piratas informáticos encontrar y explotar agujeros de seguridad aún más rápido.

- Advertisement -[wpcode id="699"]

Para hacer frente a esto, IBM y Red Hat lanzaron el Proyecto Lightwell.

Respaldado por una iniciativa de 5 mil millones de dólares impulsada por inteligencia artificial, el trabajo de Lightwell es encontrar y corregir vulnerabilidades en software de código abierto a escala industrial. Ahora, pasó de un proyecto a productos: Lightwell Network y Lightwell Clearinghouse Premier.

Lightwell Network está disponible con carácter general, mientras que Lightwell Clearinghouse Premier está entrando en una fase de incorporación de disponibilidad limitada. Según las empresas, «Lightwell ahora extiende esa protección empresarial probada a toda la cartera de software de una organización». Ambos servicios brindan una forma de proteger componentes de código abierto para empresas, no solo aquellos que se incluyen dentro de los productos Red Hat e IBM.

Seguridad de código abierto turboalimentada

Ambas compañías enfatizan que no se trata tanto de un enfoque nuevo como de un megaproyecto de código abierto sobrealimentado respaldado por IA y 20.000 ingenieros. Es «un modelo construido sobre décadas de confianza, en el que Red Hat ha asegurado los sistemas más críticos del mundo para miles de clientes», y lo está ampliando para cubrir una porción mucho más amplia de la pila de software.

- Advertisement -[wpcode id="699"]

En el corazón de la oferta está lo que la pareja describe como «la capacidad de alto rendimiento de un motor de remediación generativo impulsado por IA que ya está activo y operando a escala». Este proceso de automatización «combina modelos de IA de vanguardia con experiencia en ingeniería humana para identificar, validar y remediar vulnerabilidades en dependencias críticas integradas profundamente en las arquitecturas de software modernas».

En lugar de insistir en que los clientes busquen constantemente lanzamientos upstream, Lightwell «utiliza la automatización para respaldar las correcciones críticas directamente en versiones de software de producción exactas y de larga duración, lo que ayuda a abordar las largas pruebas de regresión y los cambios importantes que a menudo paralizan a los equipos obligados a adoptar importantes actualizaciones upstream».

Leer  El mejor software antivirus para proteger tu computadora en 2026

El primer producto nuevo, Lightwell Network, proporciona «acceso inmediato a una biblioteca de contenido activa y en crecimiento que abarca las bibliotecas más recientes y heredadas con soluciones de alto valor». Los miembros reciben «un flujo continuo de binarios firmados digitalmente, código fuente y artefactos de cumplimiento integrales, incluidas listas de materiales de software (SBOM) completas, entregados directamente a los canales existentes sin deriva de código».

El segundo, Lightwell Clearinghouse Premier, está «diseñado para servir como un intermediario confiable para una colaboración profunda de la industria, una coordinación vertical avanzada de amenazas y embargos de parches seguros».

Inicialmente, Lightwell Clearinghouse Premier se limitará a servicios financieros. Las organizaciones participantes pueden enviar vulnerabilidades y solicitar «corrección de versión específica bajo una ventana de embargo segura». Si tiene éxito, se ampliará al gobierno, la atención sanitaria y las telecomunicaciones.

Cómo Lightwell cambia la ecuación de parcheo

IBM y Red Hat son explícitos en que el objetivo es lo que describen como un modelo de remediación fallido en la era de la explotación barata impulsada por la IA. Con el código abierto «que ejecuta software empresarial», argumentan, «un volumen masivo y exploits generados por IA de 50 dólares han roto la gestión tradicional de parches». Lightwell, afirman los proveedores, está diseñado para mitigar este riesgo no asignado y neutralizar los cuellos de botella en la ejecución mediante la evaluación del contexto de la aplicación y las interacciones de dependencia para ofrecer correcciones validadas directamente en los flujos de trabajo activos.

Como dijo Matt Hicks, presidente y director ejecutivo de Red Hat, «Lightwell representa un cambio estructural fundamental en la forma en que protegemos todo el software empresarial. Al combinar la remediación automatizada con nuestra profunda herencia de ingeniería, nuestro objetivo es ofrecer la infraestructura confiable necesaria para consumir código abierto de manera confiable, sustentable y a velocidades de modelo de vanguardia».

- Advertisement -[wpcode id="699"]

Rob Thomas, vicepresidente senior de software y director comercial de IBM, subraya el ángulo de «haremos el trabajo duro por usted». «IBM y Red Hat están brindando a las empresas soluciones certificadas que pueden implementar directamente en los sistemas que ya ejecutan, sin reequipamiento ni interrupciones, respaldadas por una creciente red de tecnología y socios de entrega», afirmó.

Lightwell también se apoya en gran medida en el modelo «upstream-siempre» de Red Hat. Según el anuncio, «las correcciones de seguridad se envían activamente a la comunidad de código abierto de origen para su revisión y aceptación», lo que tiene como objetivo garantizar que «las protecciones comerciales y la salud de la comunidad se refuercen continuamente entre sí, evitando la fragmentación del proyecto sin correr el riesgo de días cero en producción».

Leer  Abrazando la cara: 5 formas en que las empresas pueden reducir los costos de IA sin sacrificar el rendimiento

Eso suena bien, pero IBM y Red Hat no son los únicos que buscan utilizar la IA para defender el código fuente abierto contra los atacantes impulsados ​​por la IA.

Donde encaja Akrites

Lightwell no existe en el vacío. La Fundación Linux, junto con socios de la industria, lanzó recientemente Akrites para defender el software crítico de código abierto contra las amenazas habilitadas por la IA. Akrites mitiga los riesgos de la cadena de suministro de software de código abierto al reforzar los proyectos críticos de código abierto. Para ello, crea un marco común sobre cómo los mantenedores y los consumidores se coordinan ante vulnerabilidades graves.

Si bien Lightwell es un servicio comercial, Akrites es un esfuerzo gobernado por una fundación que se centra en el proceso y la coordinación de los proyectos en sí. Su objetivo es brindar a los mantenedores y usuarios de infraestructura crítica una forma estructurada y confidencial de manejar las fallas descubiertas por la IA, estandarizando la corrección y divulgación de vulnerabilidades en lugar de entregar parches respaldados específicos de la empresa.

Esas líneas ya se están desdibujando. En el anuncio de Lightwell, el vicepresidente de desarrollo de socios de proveedores de software independientes (ISV) de Microsoft, Sandy Gupta, señala directamente esa intersección: «La velocidad en la entrega de parches a los clientes es fundamental. Ya estamos trabajando junto con IBM y Red Hat como parte del esfuerzo Akrites de la Fundación Linux y ahora ampliamos esa colaboración a Lightwell para garantizar que las correcciones críticas lleguen a los clientes lo más rápido posible utilizando los mecanismos y herramientas de entrega más rápidos».

En la práctica, Akrites apunta a dar forma a cómo los proyectos críticos de código abierto manejan las vulnerabilidades en un mundo acelerado por la IA, mientras que Lightwell ofrece a las empresas una forma de consumir esas correcciones y backports diseñados por IBM/Red Hat bajo contrato.

Dónde encaja Atenea de Chainguard

La coalición Athena de Chainguard ocupa otro rincón más de esta vertiginosa carrera por la seguridad. Athena es una coalición industrial que protege el software de código abierto de los ataques de IA. Está diseñado para la era del modelo de frontera, donde los sistemas de inteligencia artificial pueden encontrar fallas graves más rápido de lo que cualquiera puede solucionarlas.

Al igual que Lightwell, Athena se presenta como una especie de cámara de compensación impulsada por IA, pero en lugar de ser un servicio de un solo proveedor, reúne los hallazgos de vulnerabilidades y el trabajo de remediación de «más de dos docenas de organizaciones», incluidos bancos y principales proveedores de infraestructura, así como desarrolladores.

Athena ya está publicando las primeras métricas. Según Chainguard, «Athena está operativa hoy. Procesó más de 40.000 hallazgos y generó más de 2.000 parches en más de 500 proyectos de código abierto. La coalición utiliza IA para encontrar y corregir vulnerabilidades en software de código abierto ampliamente utilizado antes de que los atacantes puedan explotarlas». Se centra en bibliotecas, contenedores y otros componentes que sustentan los sistemas críticos.

Leer  Esta es mi distribución de Linux favorita de todos los tiempos, y los he probado todos

Como explicó el fundador y director ejecutivo de Chainguard, Dan Lorenc, «Athena proporciona un lugar para que las organizaciones encuentren → arreglen → protejan → expongan → revelen vulnerabilidades que los modelos fronterizos de IA están descubriendo. Los hallazgos provienen de toda la coalición. Creamos soluciones bajo embargo. Los socios acumulan protección sin parches a su alrededor. Descubrimos exposiciones que de otro modo permanecerían invisibles. Y luego las soluciones duraderas llegan a los mantenedores upstream que pueden hacerlas permanentes».

En contraste con el énfasis de Lightwell en enviar backports listos para la empresa a los canales de clientes, el flujo de trabajo de Athena comienza con hallazgos de IA agrupados que se «deduplican, clasifican y enriquecen en una cámara de compensación compartida», después de lo cual los miembros de la coalición colaboran en parches y mitigaciones antes de que las vulnerabilidades se hagan públicas.

Cuando aún no hay un parche limpio disponible, «Athena coloca protecciones independientes para que la cobertura se mantenga incluso en ausencia de un parche oportuno, y continúa monitoreando cada falla hasta que se establece una solución ascendente sólida». Luego, esas correcciones deben fluir hacia arriba y hacia los propios artefactos seguros por defecto de Chainguard, incluidas imágenes y paquetes mínimos compatibles con SLSA.

Tres modelos para la defensa de código abierto de la era de la IA

En conjunto, Lightwell, Akrites y Athena esbozan tres respuestas diferentes y cada vez más superpuestas al mismo problema subyacente: herramientas de inteligencia artificial rápidas y baratas que pueden descubrir y convertir en armas fallas en los bienes comunes de código abierto más rápido de lo que los canales de parches tradicionales pueden seguir el ritmo.

Akrites se centra en la gobernanza y los procesos de proyectos críticos, intentando estandarizar cómo los mantenedores y los usuarios clave manejan las vulnerabilidades impulsadas por la IA y los parches embargados. Athena integra la investigación de vulnerabilidades acelerada por IA en una coalición intersectorial que comparte hallazgos, coordina la remediación previa a la divulgación e impulsa correcciones en sentido ascendente, al mismo tiempo que las introduce en artefactos reforzados de la cadena de suministro. Lightwell, por el contrario, está dirigido directamente a empresas que no quieren problemas ni complicaciones, sólo soluciones certificadas que pueden incorporar directamente a los sistemas que ya ejecutan, sin necesidad de reequipamiento ni interrupciones.

En el futuro inmediato, los necesitaremos todos y más. La IA está transformando tanto el software de código abierto como la seguridad. Hasta que hayamos encontrado un camino a seguir para proteger verdaderamente nuestro código, necesitaremos probar todos estos enfoques y ver cuáles funcionarán mejor para protegernos a nosotros y a nuestros programas.

spot_img

Relacionada

Leave a Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

spot_img