生成式 AI 對開源軟體而言是一把雙刃劍。一方面,AI 能幫助開發者更快編寫代碼、更迅速地定位漏洞;另一方面,項目維護者卻被海量湧入的潛在嚴重漏洞報告壓得喘不過氣。
cURL 這一廣受歡迎的開源數據傳輸程序的創始人兼維護者 Daniel Steinberg 近日坦言:"收到的安全報告速率是2024年的四五倍,是2025年初的兩倍。"他第一次承認,"我比以往任何時候都工作得更多,但洪流還在不斷湧來。"Steinberg 已瀕臨職業倦怠,他呼籲更多公司"資助我們",以便雇用更多開發者來分擔工作量。如今,IBM 及其子公司紅帽(Red Hat)已聽到了這聲呼籲。
他們的回應是"光井計劃"(Project Lightwell)——一項由 AI 驅動的計劃,被定位為"前所未有的力量",旨在以工業化規模發現並修復開源軟體中的安全漏洞。光井計劃的目標是成為保障現代企業 IT 底層開源組件安全的事實標準資訊樞紐。
不過,該計劃並不會向上游開發者提供直接報酬。光井計劃的實際做法是:為 IBM 和紅帽工程師提供 AI 工具,讓他們專注於重要的、對業務至關重要的開源項目,並儘可能提升其安全性。鑑於 Anthropic 的 Mythos Preview 模型已在短短幾周內識別出開源軟體中近3900個嚴重安全漏洞,對更快修復速度的迫切需求已不言而喻。
為此,兩家公司將在未來數年內投入50億美元,用於部署前沿規模的 AI 模型、配套工具,以及一個專注於開源安全的全球工程組織。這一舉措並不僅僅是一次 AI 布局。兩家公司還將調配2萬名工程師,將開源風險視為一級供應鏈問題,而非日常後台維護事務。
光井計劃的核心是一種全新的運營模式,旨在彌合企業與其所依賴軟體的上游社區之間的鴻溝。IBM 和紅帽並未推出又一個漏洞賞金計劃或代碼掃描服務,而是將光井計劃定位為受信任的中間方:企業向該計劃提供其運行的開源軟體資訊,光井計劃的工程師再藉助 AI 尋找缺陷並提出修複方案,隨後與上游維護者協作,將補丁合併並正式發布。
兩家公司表示,這一資訊樞紐將整合目前分散在內部安全團隊、第三方掃描工具和社區維護者之間的多項職能,涵蓋大規模漏洞發現、分類與優先級排序、補丁開發、版本回移(backporting),以及對企業實際部署版本的長期生命周期支持。若一切順利,這一方案將把零散的人工修復轉變為高吞吐量的漏洞修複流水線,同時仍尊重項目治理規範和開放開發準則。
IBM 董事長兼首席執行官阿文德·克里希納(Arvind Krishna)在聲明中表示:"通過光井計劃,IBM 和紅帽正在助力定義一種新的行業模式——將 AI、工程專業能力與可信協作融為一體,從源頭到整個供應鏈全面保障開源軟體的安全。"
光井計劃將首先聚焦 Maven/Java 生態系統——這一領域早在 AI 興起之前便飽受安全濫用問題困擾,隨後將逐步擴展至 PyPI、npm、Go 及其他重要開源代碼庫。
該計劃將由 IBM 最新的 AI 模型提供支持。這些系統將經過專門訓練,能夠掃描海量代碼庫、依賴關係圖譜和配置存檔,發現潛在漏洞,並生成候選補丁,再由人工工程師驗證後,方可提交至上游或部署至客戶環境。
兩家公司認為,這種"人在迴路"的方式是讓 AI 獲得安全關鍵代碼信任的必要前提。AI 模型可以識別出人工審查者根本無暇顧及的模式和問題,但關於何為安全且可接受的修複方案,最終決定權仍將由經驗豐富的工程師和項目維護者掌握。在實際運作中,光井計劃希望在社區眼中呈現為一位規模龐大、組織有序的貢獻者,而非一個不斷投遞未經請求的合併請求(pull request)的不透明自動化層。
對紅帽而言,光井計劃是對其數十年經驗積累的延伸——將上游開源項目加固並為企業提供支持,同時將改進成果回饋社區。區別在於規模。紅帽的傳統模式以其自身產品平台為核心,包括紅帽企業版 Linux(RHEL)、OpenShift 和 Ansible,而光井計劃將瞄準那些默默支撐銀行系統乃至 AI 流水線的龐大數量的庫、框架和工具。
兩家公司表示,光井計劃的工程師將提交問題報告、提出補丁,並與現有項目負責人共同維護關鍵組件,而非進行分叉或取而代之。當上游維護者對某個修複方案存在異議或拒絕支持舊版本分支時,光井計劃仍可為客戶提供經加固處理的回移版本。但 IBM 和紅帽堅持認為,默認路徑是"上游優先",資訊樞紐扮演的是橋樑角色,連接企業生產需求與社區發布節奏。
與此同時,IBM 和紅帽明確表示:"上述能力將通過商業訂閱的方式提供,使企業能夠將經過驗證的安全補丁直接集成到現有軟體供應鏈中,並享有企業級驗證和生命周期管理服務。"
這些訂閱被定位為現有軟體供應鏈的疊加層,而非一個新的發行版:光井計劃將接入企業已在使用的持續集成/持續交付(CI/CD)、軟體倉庫(registry)及軟體物料清單(SBOM)流程,通過 API、目錄和集成方式交付經過審核的修複方案與策略決策。
IBM 軟體業務高級副總裁羅布·托馬斯(Rob Thomas)告訴路透社:"該服務將在未來30天內作為商業產品正式上線。"這一訂閱服務可能將根據使用的軟體包數量定價,並將為客戶提供"來自資訊樞紐的認證背書,證明其使用的開源軟體可安全用於生產環境"。
當然,這項服務本身並無問題,兩家實力雄厚的公司投入了大量資金,理應從中獲利。但上游開源開發者及其所屬社區,將在這一新模式中扮演怎樣的角色?這個擬議中的企業可信樞紐,是否會成為大型企業的事實守門人?如果所有補丁都提交至上游倉庫,客戶究竟在為什麼付費?
這些都是值得深思的問題,而目前還沒有令人滿意的答案。且行且關注。
Q&A
Q1:光井計劃(Project Lightwell)是什麼?它要解決什麼問題?
A:光井計劃是 IBM 和紅帽聯合發起的一項 AI 驅動的開源安全計劃,旨在以工業化規模發現並修復開源軟體中的安全漏洞。其背景是當前開源維護者面臨 AI 生成的海量漏洞報告衝擊,人手嚴重不足。該計劃將充當企業與上游開源社區之間的可信中間方,整合漏洞發現、補丁開發和生命周期支持等職能。
Q2:光井計劃會給上游開源開發者帶來哪些直接支持?
A:光井計劃並不會直接向上游開發者發放報酬。它的方式是派遣 IBM 和紅帽的工程師,藉助 AI 工具參與重要開源項目的安全修復工作,並以貢獻者身份與上游維護者協作,將補丁合併至正式代碼庫。對於上游維護者不願支持的舊版本,光井計劃也會為企業客戶單獨提供經加固的回移版本。
Q3:企業用戶訂閱光井計劃能獲得什麼?
A:企業訂閱光井計劃後,可獲得經過驗證的安全補丁,這些補丁可直接集成到現有軟體供應鏈中,並附帶企業級驗證和生命周期管理服務。此外,訂閱還提供來自資訊樞紐的安全認證背書,證明相關開源軟體可安全用於生產環境。訂閱費用可能將根據企業使用的軟體包數量定價。
