AI時代の脆弱性に対応するAkritesが始動

TL;DR: Amazon Web Services、Google、Microsoft、Anthropicなど主要企業25組織が2026年6月25日、オープンソースソフトウェアの脆弱性発見・修正・開示を統合的に管理する業界連携プロジェクト「Akrites」を立ち上げた。AI技術により脆弱性発見が数週間から数分に加速する中、メンテナーを支援するための実務的な対応に乗り出す。

イニシアティブの立ち上げ

Akritesは、銀行、通信、電力網など重要インフラを支えるオープンソースソフトウェアの脆弱性対応を目的とした、業界史上最大規模の統合的な取り組みとして立ち上がった。AI技術がもたらした脆弱性発見の加速に対応するため、Amazon Web Services、Anthropic、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、Microsoft、GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone、Zscalerのほか、CNCF、LF Energy、OpenInfra、OpenJS Foundation、OpenSSF、PyTorch Foundationが参画している。

脅威と対応の仕組み

かつては専門家が数週間かかっていた重大な脆弱性発見が、現在は機械が数分でこなすようになった。この加速により、メンテナーの修正能力が追いつかない状況が生じている。例えば、OpenStackコミュニティは2026年第1四半期に20件のセキュリティアドバイザリを発行した一方、2025年通年では2件にとどまっている。

Akritesは脆弱性の発見、修正、責任ある開示を一元的に調整する信頼できた場を提供する。共有の専任セキュリティインシデント対応チームが設置され、メンテナーは単一で予測可能なパートナーを得る。メンテナーが不在または対応不可な重要パッケージについては、Akrites自身がメンテナーとしての役割を担う。

企業と財団からのコミットメント

Matt Wilson氏（Amazon Web Services バイスプレジデント兼Distinguished Engineer）は、「フロンティアAIモデルは、これまで不可能だった速度と規模で脆弱性を発見・修正できる能力を防衛側に与えた。Akritesは、報告の殺到ではなく、調整されたパートナーシップをメンテナーに提供する」と述べた。

Thierry Carrez氏（OpenInfra Foundation ゼネラルマネージャー）は、「OpenStackコミュニティは今四半期だけで20件のセキュリティアドバイザリを発行した。2025年全体では2件だったことと比較すると、報告件数の急増は明らかである。OpenInfra Foundationは、重要なオープンソースインフラプロジェクトがこの急増に対応する上流での方法論を支援する努力を歓迎する」と述べた。

Mark Russinovich氏（Microsoft Azure CTO兼Deputy CISO）は、「OpenSSFおよびAlpha-Omegaは、業界が団結してオープンソースセキュリティを強化した場合に何が可能かを実証した。Akritesは、AI駆動型脆弱性発見と防御の新たなインフレクションポイントに対応するために設計された。ファウンディングメンバーとして、Microsoftはオープンソースソフトウェアエコシステムにわたる脆弱性の責任ある特定と修正を支援するため、専門知識、資源、AI技術を貢献する」と述べた。

Chris Wright氏（Red Hat Chief Technology Officer兼Senior Vice President Global Engineering）は、「オープンソースは現代のソフトウェアイノベーションの基盤である。その基盤を守るには、脅威に対応できる規模での調整された上流のコミュニティによる対応が必要である。Red Hatは、上流エコシステムを強化することに焦点を当てている」と述べた。

この記事は元記事の事実のみに基づいて自動生成されました。

出典

Akrites「Open Letter | Akrites」https://akrites.org/letter/（Linux Foundation、OpenSSF、Alpha-Omegaの報道による）