谷歌联合多家公司向 Linux Foundation 的 Alpha-Omega 项目和 OpenSSF 出资,共同承诺 1250 万美元,用以提升开源软件在 AI 时代的安全与稳定,重点从发现漏洞转向部署修复并为维护者提供先进的 AI 工具。谷歌还将把内部已验证的 AI 安全工具(如 Big Sleep、CodeMender)与研究项目(如 Sec-Gemini)扩展至开源社区以加速防御能力。
背景与目的
- 原因:开源软件构成互联网基础,安全由维护者和社区保障。随着 AI 驱动威胁出现,单纯发现漏洞已不足以防护生态。
- 目标:帮助维护者更快修复漏洞、将 AI 发现的海量线索转化为可部署的补丁,并把先进工具直接交到维护者手中。
资金与合作
- 规模:与 Amazon、Anthropic、Microsoft/GitHub 和 OpenAI 等共同向 Linux Foundation 的 Alpha-Omega 项目及 OpenSSF 承诺 1,250 万美元资金。
- 用途:资助维护者、推动从漏洞发现到修复的端到端流程、开发并交付面向维护者的安全工具。
谷歌的技术贡献
- 内部工具:谷歌 DeepMind 的 Big Sleep 和 CodeMender 已在内部用于自动发现并修复复杂系统(例如 Chrome)的可利用漏洞。
- 研究与扩展:谷歌将 Sec-Gemini 等研究项目向开源项目开放(提供兴趣表单),以便把研究成果用于更广泛的开源生态。
对开源维护者的影响
- 更快响应:利用 AI 工具把自动化检测结果变为实际补丁,缩短修复周期。
- 能力下沉:把企业级安全技术下放给开源维护者,提升整体防御能力并缓解人才与资源不足问题。
未涉及与限制
- 文章未给出具体的资金分配细则、时间表或衡量成效的量化指标。
结论
- 这项联合投资和技术下沉旨在用 AI 助力开源安全,从单纯的漏洞发现转向更高效的修复与防护,让维护者在面对新一代 AI 驱动威胁时更有胜算。
这是把企业级 AI 安全能力下沉到开源社区的重要一步,但成效还需靠具体分配与长期支持检验。