Chainguard verzamelt ruim 24 bedrijven, waaronder Cloudflare, Docker, Cisco en JPMorganChase, in coalitie Athena. Doel: AI inzetten om kwetsbaarheden in open source te vinden en te dichten voordat aanvallers ze misbruiken.
Bijna elke organisatie draait op open-source software, vaak zonder het te beseffen: het zit verstopt in de bibliotheken en afhankelijkheden onder je applicaties. Precies daar ligt een groeiend risico, want moderne AI-modellen kunnen code lezen, door afhankelijkheden heen redeneren en nieuwe, gekoppelde zero-day-lekken vinden op machinesnelheid. Om aanvallers daarin voor te blijven lanceerde beveiligingsbedrijf Chainguard deze week Athena, een industriecoalitie die kwetsbaarheden in open source wil opsporen en dichten voordat ze openbaar worden.
Wie er meedoet
De oprichtende leden beslaan een brede doorsnede van de techsector: naast Chainguard zelf doen onder meer Cloudflare, Docker, Cisco, Kyndryl, BNY, JPMorganChase, PwC, Corridor, DepthFirst en LTIMindtree mee. Volgens Chainguard is de coalitie inmiddels gegroeid tot ruim twee dozijn organisaties. De leiding ligt bij Dan Lorenc, medeoprichter en CEO van Chainguard, die het probleem scherp samenvat: de tijd tot misbruik is negatief geworden, exploits landen voordat een lek ooit is onthuld. Geen enkel bedrijf kan dat alleen voorblijven, stelt hij.
Hoe Athena werkt
Athena draait om een gedeeld platform met meerdere lagen. Het bundelt vondsten van leden en van AI-onderzoeksprogramma's, waaronder Anthropics Project Glasswing en OpenAI's Daybreak. Vervolgens maakt de coalitie geharde versies en private forks van getroffen bibliotheken klaar nog vóór de publieke onthulling, rolt het mitigaties uit op infrastructuurniveau, en coördineert het de melding met de oorspronkelijke onderhouders zodat de fixes upstream in de projecten belanden. Tot nu toe verwerkte Athena naar eigen zeggen meer dan 20.000 bevindingen en leverde het ruim 2.000 patches op, verspreid over zo'n 500 open-source-projecten. De eerste gecoördineerde onthullingsronde staat voor de komende maand gepland.
Wat betekent dit voor jouw bedrijf
Direct meedoen is voor de meeste Nederlandse bedrijven niet aan de orde: Athena richt zich op gescreende, grote organisaties. De winst zit indirect maar reëel. Omdat de patches upstream in de open-source-projecten worden teruggebracht, profiteert iedereen die diezelfde bibliotheken gebruikt, van een MKB-webshop tot een divisie van een grote onderneming. De lekken die jij nooit zelf had gevonden, zijn dan al gedicht tegen de tijd dat je een update binnenhaalt.
Tegelijk is enige nuchterheid op zijn plaats. Athena is een grotendeels Amerikaans, door grote bedrijven gedragen initiatief, en het leunt op dezelfde AI-modellen die elders onderwerp van discussie zijn. Anthropics modellen voeden via Project Glasswing de speurtocht naar lekken, terwijl precies die modellen onder de Amerikaanse exportbeperkingen vallen die beveiligingsexperts juist gevaarlijk noemen voor verdedigers. Dat laat de spanning zien tussen meeprofiteren van zulke platforms en je eigen grip houden. De praktische les voor de meeste organisaties blijft onveranderd: weet welke open-source-componenten je gebruikt, houd ze actueel en patch snel. Dezelfde beweging naar open source en zelf gehoste modellen om kosten en afhankelijkheid te beperken maakt goed afhankelijkhedenbeheer alleen maar belangrijker. Voor de meeste organisaties begint grip op open-source risico bij één simpele stap: weten wat er in je stack zit en het actueel houden.
