https://akrites.org/letter/ - фига тут Linux Foundation инициативу запустили

ИИ сломал прежний баланс между атакующими и защитниками. Раньше найти серьёзную уязвимость в крупном OSS-проекте у эксперта занимало недели — теперь машина делает это за минуты и часто возвращает несколько уязвимостей за один проход. Цифра, которую все цитируют (от Endor Labs): из тысяч валидированных OSS-уязвимостей за последние месяцы пропатчено меньше 5%. То есть узкое место — не находить дыры, а успевать чинить.

Подразумевается, что теперь вместо 1000 репортов от независимых исследователей, будет одна команда, которая этим занимается. И эта же команда самовалидирует все найденные уязвимости перед отправкой мейнтейнерам на фикс. Т.е это прямая попытка борьбы с AI-CVE SLOP: понятный канал связи, устранение флуда однотипными репортами, повышение качества репортов за счет их предварительной валидации

Уже вписались 19 компаний (AWS, Anthropic, Google, Microsoft/GitHub, IBM, Cisco, Citi, JPMorganChase, NVIDIA, OpenAI, Red Hat, Rust Foundation, Sonatype, Vodafone, Zscaler, Chainguard, Endor Labs, Ericsson, RapidFort) плюс фонды CNCF, OpenInfra, OpenJS, OpenSSF, PyTorch Foundation, LF Energy

⚠️НО ЭТО ЕЩЕ НЕ САМОЕ ПРИКОЛЬНОЕ

Если у проекта нет активного мейнтейнера - команда Akrites должна будет фиксить найденные уязвимости САМОСТОЯТЕЛЬНО

Ну все, получается, я могу смело уходить на покой - за меня все AI найдет и пофиксит. Осталось только понять, как они это мержить без меня собираются🤔