De Linux Foundation heeft samen met negentien grote bedrijven Akrites opgericht, een coalitie die kritieke open-source software moet verdedigen tegen aanvallen die door AI worden versneld. De aanleiding is concreet en ongemakkelijk: frontier-AI-modellen vinden kwetsbaarheden in grote open-source projecten tegenwoordig binnen minuten, werk waar voorheen weken expertanalyse voor nodig was. Voor vrijwel elk Nederlands bedrijf, dat via zijn software, websites en automatiseringen leunt op open-source componenten, is dat een verdedigingslinie die er eerder niet was.
Wat Akrites doet
Akrites is een gecoordineerde inspanning om kwetsbaarheden in kritieke open source te vinden, te repareren en verantwoord te melden voordat aanvallers ze misbruiken. De founding members zijn een wie-is-wie van de techsector: Amazon Web Services, Anthropic, Cisco, Citi, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA en OpenAI, onder meer. Opvallend: ook Chainguard zit erbij, het bedrijf dat tien dagen geleden zijn eigen Athena-coalitie lanceerde die met AI open-source-lekken opspoort nog voor aanvallers dat kunnen. De twee initiatieven bestaan dus naast elkaar.
De coalitie werkt langs een paar lijnen: een gedeeld incident response team (SIRT) voor gecoordineerd herstel, een gestandaardiseerd proces voor verantwoorde melding (CVD), het vertrouwelijk repareren van problemen bovenstrooms voordat ze openbaar worden, en de rol van 'onderhouder in laatste instantie' voor verlaten projecten waar niemand meer naar omkijkt. Daarnaast stemt Akrites af met overheidsverdedigers. De seedfinanciering komt van Alpha-Omega, een gericht fonds van de Linux Foundation.
Verdedigers krijgen hetzelfde wapen

De kern van het idee is dat dezelfde AI die aanvallers sneller maakt, ook verdedigers sneller maakt. "Frontier AI models have given defenders the ability to find and fix vulnerabilities at a speed and scale never possible before", aldus AWS-vicepresident Matt Wilson in de aankondiging. Dat sluit aan op een bredere beweging waarin AI security-werk overneemt, zoals OpenAI dat doet met Daybreak, een systeem dat kwetsbaarheden automatisch vindt, valideert en patcht.
Wat dit voor jou betekent
Je merkt van Akrites op het eerste gezicht weinig, en dat is juist het punt: de bescherming zit bovenstrooms, in de open-source bibliotheken en projecten waar jouw software op draait. Een lek dat upstream stil wordt gedicht, bereikt jouw stack nooit als actief gevaar. Dat is breder dan een betaalde dienst voor enkele grote klanten; de hele open-source keten profiteert mee.
Het ontslaat je niet van je eigen huiswerk. De winst landt pas bij jou als je weet welke open-source componenten je gebruikt, je updates snel doorvoert en je je automatiseringsstack beveiligt tegen supply chain-aanvallen, van npm-pakketten tot je workflow-tools. Akrites verlegt de frontlinie naar voren. Of de bescherming jou bereikt, hangt af van hoe goed je je eigen afhankelijkheden op orde hebt.
Veelgestelde vragen
Open source onder controle
Bescherming bovenstrooms helpt alleen als je weet wat er in je eigen stack zit. Ik breng je software en automatiseringen in kaart, koppel ze veilig en houd je open-source afhankelijkheden actueel, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
