LINUX

Akrites: a resposta da Linux Foundation à nova era de ataques com IA

A Linux Foundation juntou gigantes como Google, Microsoft e OpenAI para criar o Akrites, um pronto‑socorro central para falhas em software livre antes de a IA as transformar em armas.

Akrites: a resposta da Linux Foundation à nova era de ataques com IA

Quando a Linux Foundation sente necessidade de montar uma força‑tarefa de segurança com Google, Microsoft, AWS, IBM, NVIDIA, bancos como Citi e JPMorgan e ainda laboratórios de IA como Anthropic e OpenAI, não é barulho de marketing, é sinal de alarme. Chama-se Akrites e quer tapar buracos em software open-source crítico antes de alguém usar modelos de IA para os transformar em ataques em massa.

O diagnóstico é simples e pouco simpático para o estado actual da segurança: hoje, encontrar falhas graves em bibliotecas usadas por meio mundo ainda exige peritos de ambos os lados. Amanhã, um modelo de IA bem treinado varre um projecto inteiro em minutos, destaca pontos fracos e até sugere código de exploração pronto a compilar. De repente, um atacante mediano passa a ter arsenal de elite. Já vimos um antegosto disto no aumento de golpes online suportados por IA que temos acompanhado no Mundial de 2026, só que agora a mira passa das pessoas para a infraestrutura.

O Akrites tenta resolver um problema muito mundano que está a estalar nas costuras: hoje há dezenas de empresas a correr scanners sobre os mesmos pacotes, a reportar a mesma vulnerabilidade vinte vezes, e a mandar patches que muitas vezes se contradizem. Os mantenedores afogam-se em duplicados e ruído gerado por ferramentas automáticas, enquanto as poucas falhas realmente exploráveis se perdem na pilha. Segundo o CEO da Endor Labs, de milhares de vulnerabilidades validadas em projectos open-source nos últimos meses, menos de cinco por cento foram de facto corrigidas. Não é falta de alertas, é falta de coordenação.

No centro do Akrites está um Security Incident Response Team partilhado, um ponto de contacto único para projectos open-source em vez de uma caixa de correio a arder. Este SIRT recebe relatórios de falhas, filtra duplicados, valida o impacto e coordena a correcção com quem mantém o projecto. Usa um processo de divulgação confidencial chamado Coordinated Vulnerability Disclosure e encosta-se a standards que já conhecemos: identificadores CVE, a métrica CVSS para severidade e o protocolo TLP de “semáforo” para controlar quem vê o quê. Tudo começa em TLP:RED, máximo sigilo, precisamente para que detalhes de exploração não acabem em fóruns antes de existir patch.

Um ponto curioso, e relevante para muito código que corre por aí em routers, caixas Android e até sistemas industriais, é o papel de “maintainer of last resort”. Se um pacote crítico já não tem mantenedor activo, o Akrites assume a tarefa de produzir e distribuir o patch, para que correcções cheguem a todos os utilizadores a tempo. Isto entra na mesma lógica de “segurança por omissão” que vimos recentemente no esforço da Canonical com o Livepatch no Ubuntu ARM64: menos heróis solitários, mais infra-estrutura partilhada.

Para já, o dinheiro vem do Alpha‑Omega, um fundo direccionado dentro da própria Linux Foundation, e o convite está aberto a outras organizações que queiram meter engenheiros ou euros no projecto. Para quem desenvolve em Portugal, desde equipas que mantêm pacotes usados globalmente a bancos que dependem de bibliotecas open-source para tudo o que mexe, o recado é claro: a era em que “a comunidade há-de tratar disso” chegava para dormir descansado acabou. Entre IA a acelerar a descoberta de falhas e cadeias de supply chain cada vez mais opacas, um centro de coordenação como o Akrites não é luxo, é o mínimo para não acordar com metade da internet a arder.

Fonte: The Decoder

Comentários · 0