https://akrites.org/letter/ - фига тут Linux Foundation инициативу запустили
ИИ сломал прежний баланс между атакующими и защитниками. Раньше найти серьёзную уязвимость в крупном OSS-проекте у эксперта занимало недели — теперь машина делает это за минуты и часто возвращает несколько уязвимостей за один проход. Цифра, которую все цитируют (от Endor Labs): из тысяч валидированных OSS-уязвимостей за последние месяцы пропатчено меньше 5%. То есть узкое место — не находить дыры, а успевать чинить.
Подразумевается, что теперь вместо 1000 репортов от независимых исследователей, будет одна команда, которая этим занимается. И эта же команда самовалидирует все найденные уязвимости перед отправкой мейнтейнерам на фикс. Т.е это прямая попытка борьбы с AI-CVE SLOP: понятный канал связи, устранение флуда однотипными репортами, повышение качества репортов за счет их предварительной валидации
Уже вписались 19 компаний (AWS, Anthropic, Google, Microsoft/GitHub, IBM, Cisco, Citi, JPMorganChase, NVIDIA, OpenAI, Red Hat, Rust Foundation, Sonatype, Vodafone, Zscaler, Chainguard, Endor Labs, Ericsson, RapidFort) плюс фонды CNCF, OpenInfra, OpenJS, OpenSSF, PyTorch Foundation, LF Energy
⚠️НО ЭТО ЕЩЕ НЕ САМОЕ ПРИКОЛЬНОЕ
Если у проекта нет активного мейнтейнера - команда Akrites должна будет фиксить найденные уязвимости САМОСТОЯТЕЛЬНО
Ну все, получается, я могу смело уходить на покой - за меня все AI найдет и пофиксит. Осталось только понять, как они это мержить без меня собираются🤔